Naucz się łamać zabezpieczenia stron internetowych

Naucz się łamać zabezpieczenia stron internetowych i aplikacji, tak jak robią to czarne kapelusze, i zabezpieczać je, tak jak robią to eksperci od spraw bezpieczeństwa. Każde nasze szkolenie kończy się możliwością zatrudnienia odrazu po jego zakończeniu u jednego z naszych partnerów.

Czego się nauczysz

  • Zainstalujesz narzędzia hakerskie i inne potrzebne oprogramowanie
  • Odkryjesz, wykorzystasz i złagodzisz wiele niebezpiecznych podatności
  • Użyjesz zaawansowanych technik hakerskich, aby poznać i wykorzystać podatności
  • Pominiesz normalne uprawnienia i nauczysz się je eskalować
  • Będziesz przechwytywać żądania za pomocą proxy
  • Nauczysz się hakować witryny na tym samym serwerze
  • Pominiesz filtry i zabezpieczenia po stronie klienta
  • Nauczysz się wykorzystywać zapytania SQL, aby wykrywać i wykorzystywać podatności SQLInjection na witrynach internetowych
  • Uzyskasz pełną kontrolę na serwerze docelowym, wykorzystując zapytania SQL
  • Odkryjesz i wykorzystasz niewidoczne zastrzyki SQLInjection
  • Zainstalujesz KaliLinux – system do przeprowadzania testów penetracyjnych
  • Zainstalujesz Windows i inne wrażliwe systemy operacyjne jako maszyny wirtualne do testowania
  • Dowiesz się, jak używać poleceń systemu Linux i jak współpracować z terminalem
  • Zbierzesz poufne informacje na temat stron internetowych
  • Dowiesz się, jak działają witryny internetowe
  • Dowiesz się, jak przeglądarki komunikują się ze stronami internetowymi
  • Zbierzesz poufne informacje na temat stron internetowych
  • Odkryjesz serwery, technologie i usługi wykorzystywane w docelowej witrynie
  • Odkryjesz wiadomości e-mail i inne poufne dane, związane z daną witryną
  • Znajdziesz wszystkie subdomeny związane z daną witryną
  • Odkryjesz nieopublikowane katalogi i pliki związane z docelową witryną
  • Odnajdziesz wszystkie witryny hostowane na tym samym serwerze, co docelowa witryna
  • Odkryjesz, wykorzystasz i naprawisz podatności w kodzie źródłowym
  • Wykorzystasz podatności w zaawansowanych aplikacjach i uzyskasz pełną kontrolę nad docelową aplikacją
  • Odkryjesz, wykorzystasz i naprawisz podatności w zabezpieczeniach lokalnych plików
  • Wykorzystasz zaawansowane luki w zabezpieczeniach lokalnych plików, aby przejąć pełną kontrolę nad docelową witryną
  • Wykorzystasz zaawansowane podatności zdalnego załączania plików i uzyskasz pełną kontrolę nad docelową witryną
  • Pominiesz formularze logowania i zalogujesz się jako administrator za pomocą zastrzyków SQL
  • Nauczysz się pisać zapytania SQL w celu odnalezienia baz danych, table i poufnych danych, takich jak hasła i nazwy użytkowników za pomocą zastrzyków SQL
  • Pominiesz filtrowanie danych i zalogujesz się jako administrator, używając zastrzyków SQL
  • Nauczysz się omijać filtry HTTP
  • Odczytasz i zapiszesz pliki na serwerze, używając zastrzyków SQL
  • Nauczysz się w łatwy sposób wstrzykiwać zapytania SQL
  • Nauczysz się we właściwy sposób pisać zapytania SQL, aby zapobiec atakom SQLInjection
  • Odkryjesz podstawowe i zaawansowane ataki Cross-Site Scripting
  • Nauczysz się korzystać z frameworka BeEF
  • Nauczysz się hookować ofiary w BeEF za pomocą ataków Cross-Site Scripting
  • Uruchomisz zdalnie kod JavaScript
  • Stworzysz niewykrywalny backdor
  • Włamiesz się do hakowanych maszyn i przejmiesz nad nimi pełną kontrolę
  • Naprawisz podatności XSS i nauczysz się chronić przed nimi jako użytkownik
  • Dowiesz się, czym są ataki bruteforce
  • Utworzysz słownik do ataku bruteforce
  • Uruchomisz atak słownikowy, aby odgadnąć hasło administratora
  • Odkryjesz wszystkie luki automatycznie, używając serwera proxy
  • Uruchomisz polecenia systemowe na docelowym serwerze internetowym
  • Uzyskasz dostęp do systemu plików i będziesz mógł łatwo nawigować pomiędzy katalogami
  • Pominiesz zabezpieczenia, zainstalowane na danym serwerze internetowym
  • Uzyskasz dostęp do wszystkich witryn na tym samym serwerze internetowym
  • Połączysz się z bazą danych i wykonasz zapytania SQL lub pobierzesz całą bazę danych na lokalny komputer

Wymagania dotyczące szkolenia

  • Wymagamy podstawowych umiejętności IT
  • Nie wymagamy żadnej wiedzy na temat Linuksa, programowania lub hakingu
  • Potrzebujesz własnego komputera z 4 GB pamięci RAM
  • Potrzebujesz systemu operacyjnego Windows / OS X / Linux

Zapisz się na nasze szkolenia

Jeśli chcesz, bardzo chętnie przeprowadzimy szkolenia w Twojej firmie. Wystarczy, że wypełnisz poniższy formularz.

Sukces! Twoja wiadomość została pomyślnie wysłana.
Błąd! Niestety nie udało się wysłać Twojej wiadomości.

Czego się nauczysz podczas szkolenia?

Witaj w naszym kompleksowym kursie na temat hakowania aplikacji internetowych. Nasz kurs zakłada, że nie posiadasz zdobytej wcześniej wiedzy na temat hakowania, a po zakończeniu poziomu twoja wiedza będzie na wysokim poziomie i będziesz w stanie hakować aplikacje tak, jak robią to prawdziwi przestępcy oraz zabezpieczać je w taki sposób, jak robią to eksperci od bezpieczeństwa aplikacji.

Chociaż niektóre z przytoczonych tutaj tematów mogą być podobne do przytoczonych w innych kursach, to inne kursy obejmują głównie podstawy lub są olbrzymimi bootcampami, a w tym kursie skupiamy się tylko i wyłącznie nad zaawansowanymi technikami hakerskimi, które pozwalają przejąć kontrolę nad każdą stroną internetową. Wszystkie nasze kursy są zaprojektowane w ten sposób, aby współistnieć ze sobą.

Nasz kurs jest bardzo praktyczny, ale nie zaniedbuje teorii. Najpierw dowiesz się, jak zainstalować niezbędne oprogramowanie, a następnie omówimy od podstaw, jak działają strony internetowe, różne składniki na stronach internetowych, zastosowane technologie oraz inne elementy. Następnie od razu rozpoczniemy hakowanie witryn internetowych. Od tego momentu nauczysz się wszystkiego o hakingu stron internetowych, odkrywając luki w zabezpieczeniach i wykorzystując je do włamywania się na strony internetowe, dzięki czemu nie wysłuchasz suchych i nudnych wykładów.

Jednak zanim przejdziesz do hakowania witryn internetowych, najpierw musisz nauczyć się zbierać informacje na temat docelowej witryny. Dlatego nasz kurs jest podzielony na kilka części. Każda sekcja zawiera informacje na temat odkrywania, wykorzystywania i łagodzenia typowych podatności w zabezpieczeniach stron internetowych. Najpierw nauczysz się podstawowej eksploatacji wymienionych podatności, a następnie pokażemy Ci zaawansowane techniki ominięcia zabezpieczeń, eskalacji uprawnień, dostępu do bazy danych, a nawet użycia zaatakowanych witryn do włamań się na inne witryny na tym samym serwerze. Dowiesz się także, w jaki sposób i dlaczego wybrane podatności w zabezpieczeniach można wykorzystać oraz poznasz właściwe praktyki, pozwalające Ci na ich uniknięcie. Oto bardziej szczegółowy podział treści naszego kursu:

Gromadzenie informacji

W tej sekcji dowiesz się, jak zbierać informacje o docelowej witrynie.

Nauczymy cię rozpoznawać serwery DNS, usługi, subdomeny, niepublikowane katalogi, wrażliwe pliki, e-maile użytkowników, witryny na tym sam serwerze, a nawet u tego samego dostawcy usług hostingowych. Informacja ta ma kluczowe znaczenie, ponieważ zwiększa szanse na uzyskanie dostępu do wybranej strony internetowej.


Odkrywanie, wykorzystywanie i łagodzenie

W tej sekcji dowiesz się, jak odkrywać, wykorzystywać i łagodzić wiele usterek.

Ta sekcja jest podzielona na kilka podsekcji, z których każda obejmuje określoną lukę w zabezpieczeniach. Po pierwsze, dowiesz się na czym polega dana podatność i co pozwala zrobić, a następnie dowiesz się, jak wykorzystać tą lukę i na co ona pozwala. Na koniec przeanalizujemy kod, który doprowadził do powstania danej podatności i spróbujemy zabezpieczyć daną witrynę. Ta sekcja składa się z następujących podsekcji:

  • Przesyłanie plików – ta usterka umożliwia atakującym na przesłanie plików wykonywalnych na serwer sieciowy, a wykorzystanie tej podatności pozwala uzyskać pełną kontrolę nad docelowymi witrynami.
  • Egzekucja kodu – ta luka umożliwia użytkownikom na uruchamianie kodu systemowego na docelowym serwerze sieci web i może zostać wykorzystana do wykonania złośliwego kodu i stworzenia powłoki zwrotnej, co daje osobie atakującej pełną kontrolę nad docelowym serwerem WWW.
  • Lokalne dołączanie plików – tę podatność można wykorzystać do odczytu dowolnego pliku na serwerze docelowym. To właśnie dzięki niej można odczytać wrażliwe pliki systemowe. My jednak nie zatrzymamy się na tym i poznasz dwie metody zwiększenia możliwości wykorzystania tej podatności oraz uzyskania powłoki zwrotnej, która pozwala na przejęcie pełnej kontroli nad serwerem docelowym.
  • Zdalne załączanie plików – ta podatność pozwala na ładownie plików zdalnych na docelowy serwer sieciowy, a wykorzystanie tej luki zapewnia pełną kontrolę nad docelowym serwerem sieciowym.j
  • SQL Injection – jest jedną z najniebezpieczniejszych podatności, znajduje się prawie wszędzie i może zostać wykorzystana do przeprowadzenia prawie każdego ataku. Pozwala na zalogowanie się z prawami administratora bez znajomości hasła, dostęp do bazy danych, uzyskanie wszystkich zawartych danych w bazie danych, takie jak nazwy użytkowników, hasła, czy numery kart kredytowych. Pozwala także zapisywać i odczytywać pliki, a nawet uzyskać dostęp do powłoki zwrotnej, co pozwala przejąć pełną kontrolę nad docelowym systemem.
  • Cross Site Scripting – ta usterka może zostać wykorzystana do uruchomienia kodu HTML, JavaScript, a nawet Visual Basic na użytkownikach, którzy posiadają dostęp do danej strony. Ale nie zatrzymamy się na samym dostępie do strony narażonej na atak. Dowiesz się także, jak wykraść dane użytkowników, takie jak hasła do Facebooka, czy Youtube, a nawet jak przejąć pełną kontrolę nad komputerem ofiary. Dodatkowo poznasz wszystkie możliwe typy ataków Cross Site Scripting.
  • XML eXternal Entity – kolejna bardzo niebezpieczna usterka, pozwalająca atakującemu na przeprowadzanie ataków DDoS, wykonywania poleceń, a nawet połączenia z innymi podatnościami. Poznasz bomby XML oraz inne typy ataków, które pozwalają na przejęcie pełnej kontroli nad atakowanym komputerem.
  • Niewłaściwe zarządzanie sesjami i stanem aplikacji – tutaj dowiesz się, jak wykorzystać niezabezpieczone żądania lub żądania, dla których sesje są źle ustawione. Nauczysz się także przejmować sesje innych użytkowników oraz wykorzystywać inne luki w zabezpieczeniach, takie jak Cross Site Request Forgery.
  • Ataki brute force i ataki słownikowe – w tej sekcji dowiesz się, czym są tego typu ataki i jak je uruchomić, a w udanych przypadkach będziesz w stanie odgadnąć hasło w docelowej stronie logowania.

Co zrobić, po wykorzystaniu

W tej sekcji dowiesz się, co możesz zrobić z dostępem uzyskanym poprzez użycie powyższych podatności.

Dodatkowo dowiesz się, jak zainstalować niewykrywalne powłoki zwrotne i jak wykonywać polecenia na wybranych serwerach. Dodatkowo pokażemy ci, jak poruszać się między katalogami, uzyskiwać dostęp do innych witryn na wybranym serwerze, przesyłać i pobierać pliki, uzyskać trwały dostęp do bazy danych, a nawet pobierać całą bazę danych na komputer lokalny. Dodatkowo nauczysz się także omijać zabezpieczenia i robić wszystko, co tylko chcesz, nawet jeśli nie masz odpowiednich uprawnień.

Dodatkowe informacje

W każdym module dowiesz się także, jak wykryć pokazane ataki oraz jak zabezpieczyć siebie i swój system. Wszystkie przedstawione techniki są autentyczne i działają przeciwko rzeczywistym systemom, a więc pragniemy, żebyś najpierw zrozumiał cały mechanizm, a potem nauczył się, jak go użyć do włamania się do systemu docelowego, aby pod koniec kursu móc swobodnie modyfikować te techniki i uruchamiać bardziej zaawansowane ataki, dostosowane do różnych sytuacji i scenariuszy bojowych.

Podczas trwania tego kursu otrzymasz pełne wsparcie, a więc nie bój się zadawać pytań, wysyłając wiadomości e-mail lub pytając otwarcie.

UWAGA: Ten kurs został stworzony do celów edukacyjnych, a wszystkie ataki odbywają się w specjalnie do tego celu laboratorium. Ten kurs jest całkowicie wyprodukowany przez SilenceOntheWire i jedynym egzaminem certyfikacyjnym jest nasz, po zakończeniu każdego modułu. Pod koniec kursu otrzymasz certyfikat, sygnowany przez SilenceOntheWire.

Dla kogo jest przeznaczony ten kurs?

  • Dla każdego, kto jest zainteresowany nauką hakowania lub testów penetracyjnych witryn internetowych.
  • Dla każdego, kto chce się dowiedzieć, jak hakerzy włamują się na strony internetowe.
  • Dla każdego, kto chce się nauczyć zabezpieczać witryny i aplikacje internetowe przed hakerami.
  • Dla twórców stron internetowych, aby mogli tworzyć bezpieczne aplikacje i zabezpieczać istniejące.
  • Dla administratorów, aby mogli zabezpieczyć swoje witryny.

SilenceOntheWire odpowiada na niesamowite pytanie: jak zapobiegać atakom hakerskim?

Szybko i sprawnie rozwiązuj incydenty bezpieczeństwa w Twojej organizacji.