Webalkalmazások biztonsági vizsgálata tanfolyam
-
Webalkalmazások biztonsági vizsgálatának alapjai: a protokollok működése és a parancssori alkalmazások használata (131 perc)
-
Demókörnyezet és eszközök
-
HTTP és HTML alapok – HTTP fejlécek – Átirányítások – Alapvető vizsgálati praktikák
-
HTTP kérések metódusai – Ncat és Bash
-
Manuális és automatizált bejárás – Spider – Crawler – Directory bruteforcing – Bash scriptek
-
További terminal alkalmazások – Wget és Curl kapcsolódó lehetőségei
-
HTML, JS és CSS injection – XSS alapvetések – Webpage defacement
-
Kérdések
-
-
Webalkalmazás-sérülékenységek felderítésének és kihasználásának alapjai (137 perc)
-
Demókörnyezet és eszközök
-
Fájlok elérése és a “file bruteforcing”
-
Süti (cookie) működése, szállítása
-
Metaadatok kinyerése, információk és következtetések
-
PHP generált oldalak – Formok és metódusok – Brute force technikák
-
Könyvtárak bejárása és átjárása – Directory traversal
-
Referer – Cookie – Fingerprintinting – Sütilopás – Javascript – JS remote
-
Kérdések
-
-
Webalkalmazások vizsgálata Burp Suite és Zed Attack Proxy segítségével (140 perc)
-
Elsődleges eszközök és telepítésük
-
Alapfogalmak, megbízás, jogalap
-
Böngésző kiegészítők, Tech stack, Scope, Infrastruktúra OSINT
-
Portswigger: Burp Suite alapok és elsődleges manuális funkciók
-
OWASP Zed Attack Proxy (ZAP) alapok és elsődleges manuális funkciók
-
IP címek váltása – Tor vs VPN – Tor használata – Privacy – Burp és ZAP beállítások
-
Kérdések
-
-
Webalkalmazások authentikációs felületének biztonsági vizsgálata Burp és ZAP használatával
-
ZAP auto tools: Spider, Forced browse, Scanner – ZAP Fuzzer alapok
-
Burp Intruder: Sniper, Cluster bomb, Pitchfork, Battering ram – Forced browse, Form brute, Cookie- és Parallel tampering példák
-
3A, autentikációk, elvárások, kriptográfiai műveletek – Elmélet tömören
-
Basic authentication – Burp Intruder payload processing
-
HTTP / Verb tampering és a metódusok kapcsolódó alapvetései
-
Kombinált autentikációk és vizsgálatuk
-
Digest authentication – RFC 2069 vs RFC 2617 – Hydra példa
-
Cookie tampering – Burp kombinált példa
-
ZAP Fuzzer – Form brute, Payload processing, Cookie tampering – Burp példák leképezése
-
Kérdések
-
-
Webalkalmazás inputok sérülékenységei: Cross-Site Scripting (XSS) és HTML-injection (122 perc)
-
Demókörnyezet és a demó webalkalmazás
-
Elmélet: Code injection általában – XSS és HTML injection – Scope – XSS típusok
-
Input felületek feltérképezése, ellenőrzése, tesztelése
-
“Stored” vs “Reflected” XSS példa
-
HTML injection alapok és praktikák
-
XSS – alapvető ellenőrzések, kijátszásuk lehetőségei és kapcsolódó ötletelések
-
“JS remote” – scriptek távoli behívásának lehetőségei
-
Felhasználói inputok kiolvasása és továbbítása
-
További tesztesetek – Ajánlások – Direkt és indirekt kapcsolódó vektorok
-
Kérdések
-
-
Webalkalmazások munkamenetének ellopása és a Cross Site Request Forgery (155 perc)
-
Webalkalmazások munkamenetei – PHP session-kezelés
-
Középreállás elvi lehetőségei: kredenciálisok és session cookie-k lopása a hálózati forgalomból
-
XSS: sütik ellopása, lopott adatok továbbítása GET és POST metódussal
-
Cookie-k ellenőrzésének lehetőségei, biztonságuk és kijátszásuk
-
XSS és social engineering: felhasználói kredenciálisok ellopása
-
Webdokumentum elemeinek és aktív session-ben generált HTML lapoknak az ellopása
-
CSRF támadás alapvetései és kivitelezése GET metódust használó alkalmazás esetében
-
CSRF és XSS támadás kombinálása
-
CSRF támadások POST metódust használó alkalmazásokon, és kapcsolódó praktikák
-
Ajánlások – CSRF token – Firefox konténerek
-
Kérdések
-
-
Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása (132 perc)
-
Demókörnyezet – Szerver elérése – Burp
-
Alapvetések – “Local File inclusion” vs “Remote File Inclusion” – Szerver oldali beállítások
-
POST vizsgálata Burp alatt – Fájlok szerver és kliens oldalon – PHP debug / error – Information leak
-
GET-et használó alkalmazás vizsgálata – “Include” vs “Open”
-
PHP session – Session fájlok olvasása, mérgezése
-
LFI: inklúdolható fájlok – PHP info és backdoor – Remote Code Execution – Remote shell
-
RFI backdoor – “Mindset”
-
Kérdések
-
-
Webalkalmazások feltöltési folyamatainak kijátszása (118 perc)
-
Demókörnyezet és eszközök
-
A fájlok felépítése és az informatikai szteganográfia alapjai (Windows)
-
Linux terminál példák és a kódok ködösítésének alapjai webalkalmazásokban
-
Apache2 / PHP “upload” szerver oldalon, és a biztonsági nézőpont
-
Feltöltési és ellenőrzési folyamatok alapvetései és a kódfuttatás
-
Kliens oldali ellenőrzések kijátszása és a Burp
-
Szerveroldali ellenőrzések: formátumok, kiterjesztesek, MIME típusok
-
Fájlok integritása, ellenőrzése, manipulálása, és a kódok elhelyezése
-
-
Az SQL-injection sérülékenység működése és vizsgálata (128 perc)
-
Az SQL injection mint sérülékenység és mint támadási vektor
-
Demókörnyezet és példaalkalmazás – MySQL/MariaDB és PHP
-
Az SQLi működése és az alapvető teszt esetek
-
A részben automatizált vizsgálat lehetőségei Burp Community alatt
-
Automatizált SQLi vizsgálat lehetőségei és menete sqlmap használatával
-
-
Az SQL-injection támadás típusai és manuális vizsgálata (181 perc)
-
Demókörnyezet áttekintése
-
SQLi manuális vizsgálata: scope, célok, korlátok
-
Inputok hibás ellenőrzésének irányai
-
Naive filtering / escaping, incorrect regex, double escaping, incorrect function
-
Injekció igazolásának alapvető lehetőségei és a logikai összefüggések
-
SQLi típusai és metódusai
-
In-band, Blind, Boolean-based, Time-based SQLi és további logikák
-
Union-based SQLi – Error-based SQLi vonatkozásai – MySQL schema
-
Error-based SQLi kontextusai és elméleti lehetőségei
-
Out-of-band SQLi elméleti lehetőségei és vektorai
-
Kérdések
-
Webalkalmazások biztonsági vizsgálata tanfolyam
Bevezető
Tartalomjegyzék
-
Webalkalmazások biztonsági vizsgálatának alapjai: a protokollok működése és a parancssori alkalmazások használata (131 perc)
-
Demókörnyezet és eszközök
-
HTTP és HTML alapok – HTTP fejlécek – Átirányítások – Alapvető vizsgálati praktikák
-
HTTP kérések metódusai – Ncat és Bash
-
Manuális és automatizált bejárás – Spider – Crawler – Directory bruteforcing – Bash scriptek
-
További terminal alkalmazások – Wget és Curl kapcsolódó lehetőségei
-
HTML, JS és CSS injection – XSS alapvetések – Webpage defacement
-
Kérdések
-
-
Webalkalmazás-sérülékenységek felderítésének és kihasználásának alapjai (137 perc)
-
Demókörnyezet és eszközök
-
Fájlok elérése és a “file bruteforcing”
-
Süti (cookie) működése, szállítása
-
Metaadatok kinyerése, információk és következtetések
-
PHP generált oldalak – Formok és metódusok – Brute force technikák
-
Könyvtárak bejárása és átjárása – Directory traversal
-
Referer – Cookie – Fingerprintinting – Sütilopás – Javascript – JS remote
-
Kérdések
-
-
Webalkalmazások vizsgálata Burp Suite és Zed Attack Proxy segítségével (140 perc)
-
Elsődleges eszközök és telepítésük
-
Alapfogalmak, megbízás, jogalap
-
Böngésző kiegészítők, Tech stack, Scope, Infrastruktúra OSINT
-
Portswigger: Burp Suite alapok és elsődleges manuális funkciók
-
OWASP Zed Attack Proxy (ZAP) alapok és elsődleges manuális funkciók
-
IP címek váltása – Tor vs VPN – Tor használata – Privacy – Burp és ZAP beállítások
-
Kérdések
-
-
Webalkalmazások authentikációs felületének biztonsági vizsgálata Burp és ZAP használatával
-
ZAP auto tools: Spider, Forced browse, Scanner – ZAP Fuzzer alapok
-
Burp Intruder: Sniper, Cluster bomb, Pitchfork, Battering ram – Forced browse, Form brute, Cookie- és Parallel tampering példák
-
3A, autentikációk, elvárások, kriptográfiai műveletek – Elmélet tömören
-
Basic authentication – Burp Intruder payload processing
-
HTTP / Verb tampering és a metódusok kapcsolódó alapvetései
-
Kombinált autentikációk és vizsgálatuk
-
Digest authentication – RFC 2069 vs RFC 2617 – Hydra példa
-
Cookie tampering – Burp kombinált példa
-
ZAP Fuzzer – Form brute, Payload processing, Cookie tampering – Burp példák leképezése
-
Kérdések
-
-
Webalkalmazás inputok sérülékenységei: Cross-Site Scripting (XSS) és HTML-injection (122 perc)
-
Demókörnyezet és a demó webalkalmazás
-
Elmélet: Code injection általában – XSS és HTML injection – Scope – XSS típusok
-
Input felületek feltérképezése, ellenőrzése, tesztelése
-
“Stored” vs “Reflected” XSS példa
-
HTML injection alapok és praktikák
-
XSS – alapvető ellenőrzések, kijátszásuk lehetőségei és kapcsolódó ötletelések
-
“JS remote” – scriptek távoli behívásának lehetőségei
-
Felhasználói inputok kiolvasása és továbbítása
-
További tesztesetek – Ajánlások – Direkt és indirekt kapcsolódó vektorok
-
Kérdések
-
-
Webalkalmazások munkamenetének ellopása és a Cross Site Request Forgery (155 perc)
-
Webalkalmazások munkamenetei – PHP session-kezelés
-
Középreállás elvi lehetőségei: kredenciálisok és session cookie-k lopása a hálózati forgalomból
-
XSS: sütik ellopása, lopott adatok továbbítása GET és POST metódussal
-
Cookie-k ellenőrzésének lehetőségei, biztonságuk és kijátszásuk
-
XSS és social engineering: felhasználói kredenciálisok ellopása
-
Webdokumentum elemeinek és aktív session-ben generált HTML lapoknak az ellopása
-
CSRF támadás alapvetései és kivitelezése GET metódust használó alkalmazás esetében
-
CSRF és XSS támadás kombinálása
-
CSRF támadások POST metódust használó alkalmazásokon, és kapcsolódó praktikák
-
Ajánlások – CSRF token – Firefox konténerek
-
Kérdések
-
-
Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása (132 perc)
-
Demókörnyezet – Szerver elérése – Burp
-
Alapvetések – “Local File inclusion” vs “Remote File Inclusion” – Szerver oldali beállítások
-
POST vizsgálata Burp alatt – Fájlok szerver és kliens oldalon – PHP debug / error – Information leak
-
GET-et használó alkalmazás vizsgálata – “Include” vs “Open”
-
PHP session – Session fájlok olvasása, mérgezése
-
LFI: inklúdolható fájlok – PHP info és backdoor – Remote Code Execution – Remote shell
-
RFI backdoor – “Mindset”
-
Kérdések
-
-
Webalkalmazások feltöltési folyamatainak kijátszása (118 perc)
-
Demókörnyezet és eszközök
-
A fájlok felépítése és az informatikai szteganográfia alapjai (Windows)
-
Linux terminál példák és a kódok ködösítésének alapjai webalkalmazásokban
-
Apache2 / PHP “upload” szerver oldalon, és a biztonsági nézőpont
-
Feltöltési és ellenőrzési folyamatok alapvetései és a kódfuttatás
-
Kliens oldali ellenőrzések kijátszása és a Burp
-
Szerveroldali ellenőrzések: formátumok, kiterjesztesek, MIME típusok
-
Fájlok integritása, ellenőrzése, manipulálása, és a kódok elhelyezése
-
-
Az SQL-injection sérülékenység működése és vizsgálata (128 perc)
-
Az SQL injection mint sérülékenység és mint támadási vektor
-
Demókörnyezet és példaalkalmazás – MySQL/MariaDB és PHP
-
Az SQLi működése és az alapvető teszt esetek
-
A részben automatizált vizsgálat lehetőségei Burp Community alatt
-
Automatizált SQLi vizsgálat lehetőségei és menete sqlmap használatával
-
-
Az SQL-injection támadás típusai és manuális vizsgálata (181 perc)
-
Demókörnyezet áttekintése
-
SQLi manuális vizsgálata: scope, célok, korlátok
-
Inputok hibás ellenőrzésének irányai
-
Naive filtering / escaping, incorrect regex, double escaping, incorrect function
-
Injekció igazolásának alapvető lehetőségei és a logikai összefüggések
-
SQLi típusai és metódusai
-
In-band, Blind, Boolean-based, Time-based SQLi és további logikák
-
Union-based SQLi – Error-based SQLi vonatkozásai – MySQL schema
-
Error-based SQLi kontextusai és elméleti lehetőségei
-
Out-of-band SQLi elméleti lehetőségei és vektorai
-
Kérdések
-
Webalkalmazások biztonsági vizsgálata tanfolyam
279.000 Ft
- Egyszeri díj
- Korlátlan hozzáférés a tanfolyam összes videójához
- Letölthető jegyzetek
- Letölthető virtuális gépek a gyakorláshoz
Webalkalmazások biztonsági vizsgálata tanfolyam – előfizetéssel
INGYENES
- Előfizetéssel minden képzés és tanfolyam elérhető
- Letölthető jegyzetek
- Letölthető virtuális gépek a gyakorláshoz
Jegyzet
Letöltések és extrák
Értékeld!