Kursy online dopasowane do Twoich celów.

sklep@SoftStudy.pl

WEB-300 Advanced Web Attacks and Exploitation

WEB-300 Advanced Web Attacks and Exploitation

WEB-300 Advanced Web Attacks and Exploitation

Zakres cen: od 6 399,00 zł do 9 999,00 zł netto

Poprzednia najniższa cena: 6 399,00 .

Szkolenie WEB-200 to praktyczny kurs testowania bezpieczeństwa aplikacji webowych, uczący identyfikacji i eksploatacji najczęstszych podatności przy użyciu narzędzi Kali Linux.

SKU: WEB-300 Kategorie: , , Marka:

Opis

Dlaczego warto kupić to szkolenie?

Szkolenie WEB-200 to kompleksowy kurs, który wprowadza w świat testowania bezpieczeństwa aplikacji webowych. Uczestnicy uczą się identyfikować i eksploatować powszechne podatności, takie jak XSS, CSRF, SQL Injection, SSRF, XXE, CORS czy SSTI, wykorzystując narzędzia Kali Linux. Kurs łączy teorię z praktyką poprzez realistyczne laboratoria i ćwiczenia, co pozwala na efektywne przyswajanie wiedzy.

Informacje dodatkowe

Język

Angielski
Numer egzaminu

OSWE
Poziom trudności

Średniozaawansowany
Pakiet

Course + Cert Bundle, Learn One
Dostawa

Kody dostępowe wysyłane e-mailem w formie cyfrowej, do 10 dni roboczych

PROGRAM

Tematyka
JavaScript Prototype Pollution

 Zrozumienie, jak manipulacja modelem dziedziczenia JavaScript może prowadzić do wstrzyknięcia niepożądanych danych, błędów logiki i potencjalnego wykonania kodu; identyfikacja podatnych miejsc oraz metod zapobiegania.

Zaawansowane Server‑Side Request Forgery (SSRF)

 Analiza i wykrywanie SSRF, techniki omijania filtrów, dostęp do zasobów wewnętrznych oraz sposoby zabezpieczenia złożonych architektur aplikacji przed tego typu podatnościami.

Narzędzia i metodyki bezpieczeństwa webowego

 Opanowanie metod fuzzingu, analizy statycznej i dynamicznej oraz przeglądu ręcznego kodu w celu systematycznego wykrywania podatności aplikacji webowych.

Analiza kodu źródłowego

 Przegląd i analiza logiki aplikacji w kodzie źródłowym w celu wykrycia potencjalnych wektorów ataku i miejsc wymagających poprawy.

Trwały Cross‑Site Scripting (Persistent XSS)

 Identyfikacja miejsc przechowywania niebezpiecznego kodu na serwerze, ocena wpływu ataków trwałych XSS oraz wdrażanie skutecznych mechanizmów ochronnych.

Przejęcie sesji (Session Hijacking)

 Analiza mechanizmów sesji i tokenów w aplikacjach webowych, identyfikacja słabości umożliwiających przejęcie sesji oraz rekomendacje zabezpieczeń.

Deserializacja w .NET

 Wykrywanie podatności wynikających z niebezpiecznej deserializacji obiektów w aplikacjach .NET oraz metody ich neutralizacji i hardenowania kodu.

Zdalne wykonywanie kodu (RCE)

 Rozumienie zagrożeń związanych z możliwością zdalnego uruchamiania kodu na serwerze, identyfikacja potencjalnych wektorów oraz wdrożenie zasad ograniczających ryzyko.

Blind SQL Injection

 Wykrywanie i ocena SQL Injection bez bezpośredniego feedbacku aplikacji; techniki testowania oraz metody zapobiegania wyciekowi danych z baz.

Eksfiltracja danych

 Analiza sposobów, w jakie podatności (np. SQLi, XXE, niebezpieczne uploady plików) mogą prowadzić do wycieku wrażliwych danych oraz środki minimalizujące to ryzyko.

Omijanie ograniczeń uploadu plików i filtrów rozszerzeń

 Identyfikacja sposobów obejścia zabezpieczeń uploadu plików oraz projektowanie mechanizmów walidacji i izolacji zasobów plikowych.

PHP Type Juggling i porównania luźne

 Zrozumienie problemów typów w PHP i wykrywanie miejsc, w których luźne porównania mogą prowadzić do obejścia uwierzytelniania; rekomendacje bezpiecznego porównywania.

Rozszerzenia PostgreSQL i funkcje definiowane przez użytkownika

 Ocena ryzyka wynikającego z użycia rozszerzeń i funkcji UDF w PostgreSQL — możliwe scenariusze nadużyć oraz metody ograniczania uprawnień.

Omijanie restrykcji REGEX

 Analiza walidacji opartych na wyrażeniach regularnych, wykrywanie sposobów obejścia oraz projektowanie bezpieczniejszych reguł walidacji wejścia.

Magic Hashes (PHP)

 Zrozumienie mechanizmu „magic hash” w kontekście PHP oraz wykrywanie i eliminowanie scenariuszy prowadzących do obejścia uwierzytelniania.

Omijanie ograniczeń znakowych

 Identyfikacja technik obejścia ograniczeń znakowych w aplikacjach webowych oraz projektowanie bezpiecznych metod normalizacji danych wejściowych.

UDF Reverse Shells

 Ocena ryzyka wykorzystania funkcji definiowanych przez użytkownika do uzyskania nieautoryzowanego dostępu oraz metody monitorowania i ograniczania takich funkcji.

PostgreSQL Large Objects

 Zrozumienie, jak mechanizm Large Objects w PostgreSQL może zostać nadużyty oraz sposoby kontroli dostępu i audytu.

DOM‑Based XSS (Black Box)

 Identyfikacja luk XSS po stronie klienta wynikających z manipulacji DOM w testach black‑box oraz techniki mitigacji po stronie frontendu.

Server‑Side Template Injection (SSTI)

 Wykrywanie i ocena SSTI w mechanizmach szablonów serwerowych oraz metody zabezpieczania silników szablonów i danych wejściowych.

Słabe generowanie losowych tokenów

 Analiza ryzyka słabo zaimplementowanych generatorów tokenów sesyjnych i resetów haseł oraz rekomendacje dotyczące bezpiecznego generowania i rotacji tokenów.

XML External Entity Injection (XXE)

 Zrozumienie zagrożeń związanych z parserami XML, wykrywanie XXE oraz metody bezpiecznej konfiguracji parserów i filtrów.

RCE przez funkcje bazy danych

 Ocena możliwości wykonania kodu poprzez funkcje bazodanowe, ich wpływ na środowisko aplikacji oraz sposoby ograniczania uprawnień i izolacji.

OS Command Injection przez WebSockets (Black Box)

 Identyfikacja i testowanie podatności WebSocketów na wstrzyknięcia poleceń systemowych w trybie black‑box oraz projektowanie mechanizmów filtrowania i separacji uprawnień.

Składanie elementów — zaawansowana ocena aplikacji webowej

 Integracja poznanych technik: od analizy kodu i fuzzingu, przez łańcuchowe scenariusze podatności, po raportowanie z rekomendacjami naprawczymi.

ZAWARTOŚĆ PAKIETU

Szkolenie dostępne na oficjalnej platformie elearningowej Offsec, zawiera materiały szkoleniowe, symulacje laboratorów, przykładowe pytania egzaminacyjne oraz voucher na egazmin, w zależności od wykupionego pakietu:

Course + Cert Bundle

  • Jeden kurs 200- lub 300-poziomowy – wybór zależny od potrzeb uczestnika (np. PEN‑200, PEN‑300, WEB‑200, WEB‑300).
  • 90 dni dostępu do kursu i laboratoriów praktycznych.
  • Jedno podejście do egzaminu certyfikacyjnego wliczone w cenę.
  • Ponad 50 laboratoriów Proving Grounds Play – symulacje ataków w realistycznym środowisku.
  • Bonusowy dostęp do kursu PEN‑103, umożliwiający zdobycie dodatkowego certyfikatu.

Learn One

  • Wybór jednego kursu 200. lub 300. poziomu: np. PEN-200 (OSCP+), PEN-300 (OSEP), WEB-200 (OSWA), WEB-300 (OSWE), EXP-301 (OSED), SOC-200 (OSDA), TH-200 (OSTH), IR-200 (OSIR).
  • 365 dni dostępu: pełny dostęp do wybranego kursu oraz powiązanych laboratoriów praktycznych przez rok.
  • 2 podejścia do egzaminu certyfikacyjnego: możliwość przystąpienia do egzaminu dwukrotnie w trakcie trwania subskrypcji.
  • Dostęp do kursów wstępnych: np. PEN-103 (KLCP) oraz PEN-210 (OSWP), umożliwiających zdobycie dodatkowych certyfikatów.
  • Ponad 200 laboratoriów Proving Grounds Practice: symulacje rzeczywistych scenariuszy ataków, pozwalające na doskonalenie umiejętności w bezpiecznym środowisku.

CyberCore

  • Jeden kurs 100-poziomowy do wyboru.
  • 365 dni dostępu do kursu i laboratoriów.
  • 2 podejścia do egzaminu certyfikacyjnego wliczone w cenę.
  • Ponad 50 laboratoriów Proving Grounds Play – praktyczne ćwiczenia w realistycznych scenariuszach.
  • Bonusowy dostęp do kursu PEN‑103.


wszystkie ceny są kwotami netto, należy doliczyć podatek VAT wg obowiązującej stawki

Podobne produkty