OSWE (WEB-300) – OffSec Web Expert
✓ Self-Study
Офіційний курс від OffSec
.png){kind=small}
WEB-300 (Advanced Web Attacks and Exploitation) — це поглиблений курс, який надає досвідченим фахівцям наступальних команд комплексний аналіз різноманітних вразливостей вебзастосунків і технік їх експлуатації. Розвиваючи матеріал програм PEN-200 і WEB-200, цей курс детально занурюється в методології та техніки аналізу цільових вебзастосунків, що дозволяє слухачам глибоко зрозуміти першопричини вразливостей, які підлягають експлуатації. Метою курсу є формування загального та повторюваного підходу до виявлення й експлуатації вразливостей вебзастосунків, а також подальше зміцнення фундаментальних знань, необхідних для роботи з сучасними вебзастосунками.
Для кого
Аналітики з експлуатації вразливостей
Аналітики з оцінювання вразливостей
Розробники програмного забезпечення
Аналітики з кіберзахисту
Фахівці з оцінювання безпеки програмного забезпечення
Розробники систем інформаційної безпеки
Структура курсу:
1
Забруднення прототипів JavaScript (Prototype Pollution)
3
Інструменти та методології веббезпеки
5
Закріплений Cross-Site Scripting
7
Десеріалізація в .NET
9
Blind SQL Injection
11
Обхід обмежень завантаження файлів і фільтрів розширень
13
Розширення PostgreSQL і користувацькі функції
15
Magic Hashes
17
Реверс-шел UDF (Reverse Shells)
19
DOM-Based Cross-Site Scripting (Black Box)
21
Слабка генерація випадкових токенів
23
RCE через функції баз даних
2
Просунуті техніки Server-Side Request Forgery (SSRF)
4
Аналіз вихідного коду
6
Викрадення сесій
8
Віддалене виконання коду
10
Ексфільтрація даних
12
Маніпуляції типами в PHP при нестрогих порівняннях
14
Обхід обмежень REGEX
16
Обхід символьних обмежень
18
Великі об’єкти PostgreSQL
20
Інʼєкція шаблонів на стороні сервера
22
Інʼєкція зовнішніх XML-сутностей
24
Інʼєкція команд ОС через WebSockets (Black Box)
Даний курс допоможе:
Розуміти та експлуатувати збережені вразливості Cross-Site Scripting (XSS)
Отримати глибоке розуміння атак SQL Injection і розробляти методи їх експлуатації
Аналізувати та експлуатувати вразливості інʼєкції коду в серверному JavaScript
Розуміти вразливості десеріалізації та експлуатувати їх для віддаленого виконання коду
Проводити ручний аналіз вихідного коду для виявлення потенційних вразливостей безпеки
Розробляти власні інструменти fuzzing для виявлення вразливостей
Проводити атаки викрадення та підміни сесій
Обходити механізми автентифікації з використанням SQL Injection та інших технік
Експлуатувати вразливості завантаження файлів для отримання віддаленого виконання коду
Розуміти та експлуатувати вразливості маніпуляції даними
Про вендора
OffSec
OffSec – це світовий лідер у сфері освіти з кібербезпеки, діяльність якого ґрунтується на відданості досконалості, доброчесності та постійному розвитку. Від моменту заснування й до сьогодні OffSec допомагає як окремим фахівцям, так і організаціям випереджати кіберзагрози, здобуваючи визнання та довіру в усьому світі.