Security Champion Program: Application Security Essentials for Developers
online course
2-day intensive course
lots of practice
certificate of participation
The processes behind web endpoint discovery and pivoting to the internal network via exploitation of advanced web attacks can be automated. In their daily routine bug hunters and security engineers use loads of handy tools and techniques that allow them to identify and bypass the various protection technologies used in application security. This training course will see you research the tools, techniques and procedures to exploit advanced web vulnerabilities. During this process you will build a platform to automate and orchestrate the bug hunting process.
Denis Makrushin
trainer
The processes behind web endpoint discovery and pivoting to the internal network via exploitation of advanced web attacks can be automated. In their daily routine bug hunters and security engineers use loads of handy tools and techniques that allow them to identify and bypass the various protection technologies used in application security. This training course will see you research the tools, techniques and procedures to exploit advanced web vulnerabilities. During this process you will build a platform to automate and orchestrate the bug hunting process.
Denis Makrushin, trainer
Как построены занятия
Продолжительность занятия
70 минут занятия отводится лекционному материалу, 20 минут – решению задач и обучению методологии поиска уязвимостей
Домашняя работа
После каждого занятия вы получаете домашнее задание, состоящее из 10-20 задач по теме занятия
Дополнительные материалы
Помимо занятий с преподавателем в курсе предусмотрена самостоятельная работа с дополнительными обучающими материалами
Практика на полигоне
Задания на поиск и устранение Web уязвимостей будут развернуты на полигоне в формате CTF.
Как построены занятия
Hight Quality
We are the leading firm by delivering quality and value to our clients. All our professionals have more than 5 years of legal experiences. We like what we do.
Good Support
Our managers are always ready to answer your questions. You can call us at the weekends and at night. Also you can visit our office for personal consultation.
Nice Prices And Gifts
Our prices are fixed for some standard services and we create sales for regular clients. Also we ask our new clients about their birthday and prepare cool presents.
Individual Approach
Our company works according to the principle of individual approach to every client. This method lets us to get success in problems of all levels.
Key takeaways
Automate the discovery of bug exploitation in web-based scenarios
1
Learn techniques to bypass protections

2
Save time and effort on vulnerability assessment and pentesting

3
Tools you learn
За 6 недель вы освоите 7 популярных инструментов для проверки безопасности
веб-приложений, эксплуатации их уязвимостей, построения сценариев компрометации и защиты.
Burp Suite
Серьезный инструмент для анализа веб-приложения. Он позволяет изучать взаимодействие пользователя (его браузера) с приложением, перехватывать и изменять запросы в автоматическом и ручном режимах. Также в него встроен крутой сканер, позволяющий автоматически находить новые локации, анализировать ответы сервера и фаззить параметры, чтобы находить уязвимости в тех местах, где вы даже не стали бы проверять.

Sqlmap
Если вы хотите эксплуатировать SQL инъекции, но не умеете или не хотите тратить свое время, то этот инструмент для вас. Он позволяет автоматизировать деятельность по идентификации уязвимостей и дальнейшей эксплуатации. Более того, в некоторых случаях с помощью него можно получить командную оболочку сервера!
Ysoserial
Вручную генерировать пейлоады для десериализации Java может быть ужасно скучно и непродуктивно. Разберись еще, какую коллекцию использовать! Хорошо, что придумали такой инструмент, который позволяет автоматически генерировать пейлоады для различных коллекций и эксплуатировать небезопасную десериализацию Java!

GitTools
Набор инструментов GitTools позволяет скопировать содержимое удаленного репозитория, а потом еще и восстановить исходный код! Благодаря этому можно более тщательно изучить взаимодействие компонентов веб-приложения и получения доступа к паролям и другой конфиденциальной информации, хранящейся внутри кода.
Subdomains finder
Очень полезный инструмент на стадии разведки, благодаря которому можно получить информацию о поддоменах исследуемого сервиса.
Msfvenom
Инструмент, близкий по духу к ysoserial, но более широкий с точки зрения функциональных возможностей. По сути это набор шаблонов, который позволяет генерировать полезные нагрузки под различные архитектуры и ситуации на основе передаваемых данных.
Dirsearch
Инструмент, который путем перебора по словарю помогает определить существование директорий и файлов на веб-сервере. Dirsearch также будет полезен, если не все локации доступны непосредственно из пользовательского интерфейса.
Пархомец Павел
Автор курса
Выпускник 42 кафедры НИЯУ МИФИ.
Специалист в области безопасности мобильных и веб-приложений, обладатель сертификатов OSCP, eWPT, eMAPT, eWPTX
Course program
16,5 часов лекций
+ 44 часа самостоятельной работы
4. Уязвимости серверной части (часть 1)
  • Authentication.
  • Cookie & JWT.
  • Path traversal.
  • Command injection.
5. Уязвимости серверной части (часть 2)
  • Знакомство с SQL.
  • SQLi injection (причины возникновения).
  • Виды уязвимостей.
  • Обзор возможных последствий.
  • Решение задач.
  • Способы противодействия.
6. Уязвимости серверной части (часть 3)
  • Обзор XML.
  • XXE (причины и последствия).
  • XEE (причины и последствия).
  • HTTP parameter pollution.
  • SSTI.
  • Методология поиска и защиты.
  • Решение задач.
4. Уязвимости серверной части (часть 1)
  • Authentication.
  • Cookie & JWT.
  • Path traversal.
  • Command injection.
5. Уязвимости серверной части (часть 2)
  • Знакомство с SQL.
  • SQLi injection (причины возникновения).
  • Виды уязвимостей.
  • Обзор возможных последствий.
  • Решение задач.
  • Способы противодействия.
6. Уязвимости серверной части (часть 3)
  • Обзор XML.
  • XXE (причины и последствия).
  • XEE (причины и последствия).
  • HTTP parameter pollution.
  • SSTI.
  • Методология поиска и защиты.
  • Решение задач.
Want to learn more?
Leave your e-mail and we will contact you soon