从零开始学习漏洞赏金狩猎和网络安全测试
了解如何像专家一样发现错误/漏洞 | OWASP 前 10 名 + 更多 | 无需先验知识
讲师:Zaid Sabih
口袋资源独家Udemy付费课程,独家中英文字幕,配套资料齐全!
用不到1/10的价格,即可享受同样的高品质课程,且可以完全拥有,随时随地都可以任意观看和分享。
你会学到什么
- 95 多个视频,教您从头开始寻找错误和安全测试。
- 80 多个实际操作示例 – 从简单到高级。
- 发现最常见的 Web 应用程序错误和漏洞。
- 从 OWASP 最常见的 10 个安全威胁中发现错误。
- 绕过所有涵盖的错误和漏洞的过滤器和安全性。
- 课程结束时在真实的 Web 应用程序上进行 2 小时的实时错误搜索/渗透测试。
- 我的错误搜寻和 Web 应用程序渗透测试方法。
- 错误猎人/黑客心态。
- 效率使用 Burp Suite 发现错误和漏洞。
- 发现敏感和隐藏信息、路径、文件、端点和子域
- 收集有关网站和应用程序的信息
- 赏金狩猎的基本主题。
- HTTP 方法和状态码。
- Cookie 和 Cookie 操作
- 用于寻找错误的 HTML 基础知识。
- 用于寻找错误的 XML 基础知识。
- 用于寻找错误的 Javascript 基础知识。
- 读取和分析标头、请求和响应
- 发现信息泄露漏洞。
- 发现损坏的访问控制漏洞。
- 发现路径/目录遍历漏洞。
- 发现 CSRF 漏洞。
- 发现 IDOR 漏洞
- 发现 OAUTH 2.0 漏洞
- 发现注入漏洞。
- 发现命令注入漏洞
- 发现 HTML 注入漏洞
- 发现 XSS 漏洞(反射、存储和 DOM)。
- 高级 XSS 发现和绕过技术
- 发现 SQL 注入漏洞。
- 发现盲 SQL 注入漏洞。
- 发现基于时间的盲 SQL 注入漏洞。
- 发现 SSRF 漏洞。
- 发现盲 SSRF 漏洞。
- 发现 XXE 漏洞。
- Burp 套件代理。
- Burp Suite 中继器。
- Burp 套件过滤器
- Burp Suite 入侵者。
- Burp Suite 协作者。
要求
- 基本 IT 技能
- 在寻找错误、黑客攻击或编程方面不需要先验知识。
- 具有至少 4GB 内存/内存的计算机。
- 操作系统:Windows / Apple Mac OS / Linux。
描述
欢迎来到我的漏洞赏金狩猎和网络安全测试综合课程。本课程假定您没有任何先验知识,它从零开始,逐步带您进入高级水平,能够发现任何 Web 应用程序中的大量错误或漏洞(包括OWASP 前 10 名)它使用的技术或运行它的云服务器。
本课程实用性很强,但不会忽视理论,我们将从基础开始,教您网站如何工作,使用的技术以及这些技术如何协同工作以产生我们日常使用的这些漂亮而实用的平台。然后我们将立即开始黑客攻击和漏洞搜索。通过发现安全漏洞和漏洞,您将通过示例学习所有内容,而不是枯燥乏味的讲座。
本课程分为多个部分,每个部分旨在从 OWASP 最常见的 10 个安全威胁中教您一个常见的安全漏洞或漏洞。每个部分都将带您通过一些动手示例来教您安全漏洞或漏洞的原因以及如何在从简单到高级的多种场景中发现它。您还将学习绕过过滤器和安全措施的高级技术。在此过程中,我还将向您介绍不同的黑客和安全概念、工具和技术。一切都将通过示例和动手实践来教授,不会有无用或无聊的讲座!
在课程结束时,我将带您完成两个小时的渗透测试或错误搜索,向您展示如何结合您获得的知识并将其应用于现实生活场景中,以发现真实网站中的错误和漏洞!我将向您展示我如何接近目标、分析目标并将其拆开,以发现大多数人认为安全的功能中的错误和漏洞!
如前所述,您将在本课程中学到的不仅仅是如何发现安全漏洞,这里列出了本课程将涵盖的主要安全漏洞和漏洞:
- 信息披露。
- IDOR(不安全的直接对象引用)。
- 损坏的访问控制。
- 目录/路径遍历。
- Cookie 操作。
- CSRF(客户端请求伪造)。
- 认证 2.0。
- 注入漏洞。
- 命令注入。
- 盲命令注入。
- HTML 注入。
- XSS(跨站点脚本)。
- 基于反射、存储和 DOM 的 XSS。
- 绕过安全过滤器。
- 绕过 CSP(内容安全策略)。
- SQL 注入。
- 盲 SQLi。
- 基于时间的盲 SQLi。
- SSRRF(服务器端请求伪造)。
- 盲 SSRF。
- XXE(XML 外部实体)注入。
话题:
- 信息收集。
- 终点发现。
- HTTP 标头。
- HTTP 状态代码。
- HTTP 方法。
- 输入参数。
- 饼干。
- 用于寻找错误的 HTML 基础知识。
- 用于寻找错误的 Javascript 基础知识。
- 用于寻找错误的 XML 基础知识。
- 过滤方法。
- 绕过黑名单和白名单。
- 错误狩猎和研究。
- 隐藏路径发现。
- 代码分析。
您将使用以下工具来实现上述目标:
- 费罗克斯巴斯特。
- WSL。
- 开发工具。
- 打嗝套件:
- 基本。
- 打嗝代理。
- 入侵者(简单和集束炸弹)。
- 中继器。
- 合作者。
通过本课程,您将获得 24/7 全天候支持,因此如果您有任何问题,可以在问答部分发布,我们将在 15 小时内回复您。
查看课程和课程预告以获取更多信息!
本课程适用于:
- 任何想成为漏洞赏金猎人的人。
- 任何对 Web 应用程序黑客/渗透测试感兴趣的人。
- 任何有兴趣学习如何保护网站和 Web 应用程序免受黑客攻击的人。
- Web 开发人员,以便他们可以创建安全的 Web 应用程序并保护他们现有的应用程序。
- 网络管理员,以便他们可以保护他们的网站。