https://forum.antichat.xyz/attachmen...ca510927e3.png

Привет колеги) У меня появилось желание посвятить цикл статей тематике Web Application Pentesting (Пентестинг Веб Приложений) и собираюсь я писать его по мотивам курса от PentesterAcademy
В каждом уроке(статье) я буду стараться вносить какие то свои коментарии не смотря на программу курса.Программа даного курса включает в себя:

• Работа с HTTP/HTTPS протоколами
  
• Понимания архитектуры веб приложения
  • HTTP -методы
    
  • Basic HTTP Аутентификация
    
  • Digest HTTP Аутентификация
    
  • HTTP Cookie
    
  • HTML Injection
    
  • HTML Tag Injection

• Настройка подходящей лаборатории
  
• Превращаем свой браузер в атакуемую платформу
  
• Перехват и модификация трафика с использованием прокси
  
• Межсайтовый скриптинг(XSS)
  • Типы
    • Отраженные
      
    • Хранимые
      
    • DOM based
  • Фильтры XSS
    
  • Обход XSS фильтров
    
  • Кража Cookie и session hijacking
    
  • Self-XSS
    
  • BeeF
• SQL Injection (SQL инъекции)
  • Error based
    
  • Blind (слепые)
    
  • Другие типы SQL injections
• Атаки на аутентификацию и управление сессиями
  • session id анализ
    
  • кастомная аутентификация
• Ошибки конфигурации
  • Web and database server
    
  • Application framework
• Небезопасные прямые ссылки на объекты (Insecure Direct Object References).
  
• Подделка межсайтовых запросов (CSRF - Cross-Site Request Forgery)
  • GET and POST based
    
  • JSON based in RESTful Service
    
  • Token Hijacking via XSS
    
  • Multi-Step CSRF
• Небезопасное хранение важных данных (Insecure Cryptographic Storage)
  
• Кликджекинг (Clickjacking)
  
• Уязвимость загрузки файлов на сервер (File upload vulnerabilities)
  • Обход разширения файла и прочих проверок (Bypassing extension, content-type etc. checks)
• Локальное(LFI "Local File Inclusion ") и Удаленное(RFI "Remote FIle Inclusion) подключение файлов
  
• Web to Shell
  • Виды веб шеллов (Web Shells)
    
  • Метерпретер сессия через PHP (PHP meterpreter)
• Анализ Web 2.0 приложений
  • AJAX
    
  • RIAs с использованием Flash, Flex
• Attacking Caching servers
  • Memcached
    
  • Redis
• Non Relational Database Attacks
  • Appengine Datastore
    
  • MongoDB, CouchDB etc.
• HTML5 вектори атаки
  • Злоупотребление тегов и использование в XSS
    
  • Web-сокеты
    
  • Clickjacking
• Web Application firewalls (Фаерволы веб приложений)
  • Обнаружение
    
  • Техники обнаружения
    
  • Обход WAF-ов

И все это совершенно бесплатно) С тебя только нужно быть зарегистрированным на форумеи ставить лайки)
Лайки мне нужны для того что бы определится с целевой аудиторией,с количеством заинтересованных в этом курсе людей) Думаю вполне логично, что если людей будет мало - то смысла мне тратить свое время на перевод этого курса нету)

Так что - жду минимум 20 лайков на этом посте,после чего начинаю усердно трудится)))))

О как вы быстро налайкали) Вообще буду стараться хотя бы по статье в день) Но основная работа,семья,командировки могут нарушать этот запланированный график немножко)

Может и я что подкину по этой теме.

Занимайся написанием статей по ботнету) А я про веб буду писать) И все будет гуд)

Тема обширная. Про одни скульки можно писать целые мануалы, так что не жадничай. Договоримся.

если студент хочет учится, то преподаватель тут бессилен! )) классный будет курс!

Объединяй пожалуйста посты в одно - два сообщения, а то флуд получается. Спасибо

Идея отличная! Если еще и свою лабу для теста поднять, то вообще получится хорошо Приятно видеть, когда люди тему граммотно выдают.

Хотеть!

SiXSS входит в курс ?
посоветуйте эффективнй инструмент для обнаружения вредоносного кода и веб-шеллов на сервере, вроде этого
http://www.anpad.org.br/admin/index...m&tabela=destaque_imagens&campo=imagem&id= 263
http://www.anpad.org.br/admin/index.php?c=Arquivo&m=imagem