Narzędzia dla Web Assessor
Poznanie i praktyczne użycie standardowych narzędzi stosowanych przez pentesterów aplikacji webowych, aby sprawnie identyfikować i walidować podatności.
Cross‑Site Scripting (XSS) — wprowadzenie, wykrywanie, eksploatacja i studium przypadku
Zrozumienie mechanizmów XSS, identyfikacja punktów wstrzyknięć, przeprowadzanie kontrolowanych testów w środowisku laboratoryjnym oraz omówienie sposobów ochrony aplikacji i użytkowników.
Cross‑Site Request Forgery (CSRF)
Poznanie technik wykrywania podatności CSRF, symulacja ataków w bezpiecznych laboratoriach oraz wdrażanie i testowanie skutecznych zabezpieczeń przeciwko CSRF.
Wykorzystywanie błędnych konfiguracji CORS
Identyfikacja niewłaściwych ustawień CORS, ocena ryzyka związanego z niepoprawną polityką dostępu oraz rekomendacje konfiguracji zapobiegających wyciekom danych.
Enumeracja bazy danych
Nauka technik służących do wykrywania struktury i metadanych bazy danych aplikacji oraz metod ograniczania ujawniania wrażliwych informacji.
SQL Injection (SQLi)
Analiza i identyfikacja punktów podatnych na SQLi, bezpieczne testy eksploatacyjne w labie oraz techniki zapobiegania i hardenowania zapytań do bazy danych.
Directory Traversal
Wykrywanie i testowanie podatności na dostęp do chronionych zasobów przez manipulację ścieżkami oraz implementacja zabezpieczeń przed nieautoryzowanym dostępem do systemu plików.
XML External Entities (XXE)
Zrozumienie, jak błędna obsługa XML może prowadzić do wycieków lub wykonania kodu, oraz sposoby zabezpieczenia parserów XML i testowania aplikacji pod kątem XXE.
Server‑Side Template Injection (SSTI)
Identyfikacja luk w mechanizmach renderowania szablonów po stronie serwera, praktyczne testy i metody neutralizacji zagrożeń wynikających z SSTI.
Server‑Side Request Forgery (SSRF)
Poznanie wektorów SSRF, ocena skutków ataków umożliwiających dostęp do wewnętrznych zasobów i wdrożenie ograniczeń/filtrów zapobiegających SSRF.
Command Injection
Identyfikacja punktów wykonywania poleceń systemowych z poziomu aplikacji, kontrolowane testy i strategie zabezpieczania wejść oraz środowiska uruchomieniowego.
Insecure Direct Object Referencing (IDOR)
Wykrywanie problemów z bezpiecznym odwoływaniem się do zasobów (IDOR), ocena wpływu oraz projektowanie mechanizmów autoryzacji i kontroli dostępu zapobiegających nieautoryzowanym operacjom.
Składanie elementów: przegląd oceny aplikacji webowej
Łączenie poznanych technik i narzędzi w pełny proces audytu aplikacji webowej — od rozpoznania przez wykrywanie i weryfikację podatności po rekomendacje naprawcze i raportowanie.