Сертифицированный эксперт по эксплуатации веб-приложений Hack The Box (HTB CWEE) (часть 4/2024) [HTB Academy]

Складчина: Сертифицированный эксперт по эксплуатации веб-приложений Hack The Box (HTB CWEE) (часть 4/2024) [HTB Academy]

HTB Academy Senior Web Penetration Tester Job Role Path



Путь обучения на позицию Senior-пентестера веб-приложений предназначен для специалистов, которые хотят развить навыки выявления продвинутых и труднообнаружимых веб-уязвимостей с использованием методов black box/white box. Этот путь включает обучение продвинутого уровня в области веб-безопасности, веб-пентестинга и концепций безопасного программирования. Он также закладывает глубокое понимание отладки приложений, анализа исходного кода и разработки кастомных эксплойтов в контексте веб-безопасности. Курс включает необходимую теоретическую базу, множество практических упражнений и проверенную методологию выявления веб-уязвимостей, благодаря чему обучающиеся смогут освоить выполнение профессиональных оценок безопасности современных и хорошо защищенных веб-приложений, а также эффективно составлять отчеты по уязвимостям, обнаруженным в коде или возникающим из-за логических ошибок.

Ключевые темы курса:

• Атаки с внедрением
• Введение в NoSQL-инъекции
• Атаки на механизмы аутентификации
• Продвинутая эксплуатация XSS и CSRF
• Атаки на HTTPS/TLS
• Злоупотребление неправильными конфигурациями HTTP
• HTTP-атаки
• Слепые SQL-инъекции
• Введение в whitebox-пентестинг
• Современные техники эксплуатации веб-приложений
• Введение в атаки на десериализацию
• Whitebox-атаки
• Продвинутые SQL-инъекции
• Продвинутые атаки на десериализацию
• Логические ошибки

Содержание 4-й части:

Модуль 04: Продвинутая эксплуатация XSS и CSRF

В современных веб-браузерах и приложениях используются различные меры безопасности для защиты от уязвимостей CSRF и XSS, что затрудняет их эксплуатацию. Этот модуль сфокусирован на эксплуатации сложных уязвимостей CSRF и XSS, выявлении и обходе слабых и неправильно реализованных защитных механизмов.

Ключевые темы модуля:

• Введение в продвинутую эксплуатацию CSRF и XSS
• Обзор лабораторного окружения
• Введение в эксплуатацию CSRF
• Политика одинакового источника и CORS
• Ошибки конфигурации CORS
• Обход CSRF-токенов посредством ошибок конфигурации CORS
• Различные способы эксплуатации CSRF
• Введение в эксплуатацию XSS
• Запуск атак из сессии жертвы
• Перечисление внутренних API
• Эксплуатация внутренних веб-приложений, часть 1
• Эксплуатация внутренних веб-приложений, часть 2
• Политика безопасности контента (CSP)
• Обход слабых политик CSP
• Обход фильтров XSS

Дата релиза: 2024
Тип перевода: перевод с английского языка на русский
Формат: PDF
Объем оригинала: 15 модулей
Объем перевода 4-й части: Модуль 04: Продвинутая эксплуатация XSS и CSRF (~62 стр.)
Скрытая ссылка
Дата выдачи: 31.05.2026
Сэмпл перевода: во вложении

Часть 1 | Часть 2 | Часть 3