Startujemy z nową wersją web szkoły hakerstwa na YouTube

Miło nam poinformować Ciebie, że właśnie wystartowaliśmy z nowym cyklem kursów na naszym kanale YouTube. Dotyczyć one będą audytowania webowych aplikacji. Na chwilę obecną nosi on nazwę roboczą Web Application Pentesting – haker.edu.pl. Będziemy w nim prowadzić praktyczny podstawowy trening z zakresu atakowania i obrony wszelakimi metodami stron internetowych. Duży nacisk kładziemy na aspekt szybkiego wprowadzenia do tematu i praktykę. Do wielu zadań zamierzamy oczywiście zamieszczać prace domowe na naszym blogu, a odnośniki do nich znajdować będą się pod danym filmem. Chcemy Was wprowadzić w podstawowe tajniki wykrywania i wykorzystywania potencjalnych luk w aplikacjach webowych. Dzięki tej wiedzy w przyszłości łatwiej będzie Wam je naprawiać, jeśli zostaniecie programistami webowymi.

Czym jest WebHacking i ten kurs?

Web Application Pentesting - darmowa szkoła hakerów web
Oficjalne logo przewodnie kursu Web Application Pentesting będzie śniło Ci się po nocach ;-)…

Możemy webhacking określić jako wyszukanie i wykorzystanie błędów w oprogramowaniu aplikacji internetowych. Następstwem nie sprawdzonego oprogramowania pod kątem błędów bezpieczeństwa, może być ich późniejsze wykorzystanie przez cyberprzestępce do włamania się i skompromitowania autora strony www.

Zadaniem pentestera jest wykrycie wszystkich potencjalnych słabych punktów oprogramowania strony internetowych i zasugerowanie programistom ich eliminacje. Nie należy mylić oczywiście wandalizmu internetowego z samą sztuką wyszukiwania i naprawiania błędów.

Co zamierzamy zawrzeć w kursie Web Application Pentesting?

Poniżej zestawiliśmy tylko kilka zagadnień, które zamierzamy poruszyć w szkoleniu:

  •  ataki brutalne na hasła,
  • przechwytywanie i działanie ciasteczek (cookies) przeglądarek internetowych,
  • problemy z dołączaniem plików zewnętrznych i lokalnych,
  • ataki CSRF,
  • uploadery plików,
  • metodach wykorzystania błędów XSS do przejęcia konta witryny www,
  • wstrzykiwaniu złośliwych zapytań z pomocą języka zapytań SQL,
  • wstrzykiwanie komend systemowych,
  • narzędzia ułatwiających prace audytorowa bezpieczeństwa informatycznego web aplikacji.


Pierwotnie miało być 16-20 lekcji jednak prawdopodobnie ta liczba gwałtownie wzrośnie, ponieważ postanowiliśmy skrócić długość materiałów wideo a zwiększyć ich ilość. Ma to na celu uszeregowanie wiedzy w bardziej tematyczny sposób i ułatwienie Tobie oglądania. Bo przecież nikt nie lubi oglądać wideo, które trwa 30 minut prawda? 😉

Lekcje wprowadzające

Lekcja 0 – Informacje o kursie

Jako że pierwsze trzy lekcje są bardziej wprowadzające do kursy, postanowiliśmy umieścić je w tym a nie w osobnych wpisach na blogu. Pierwsza lekcja jest niejako powtórzeniem powyższej treści tego wpisu. Pokazujemy w niej tylko zarys tego kursu, który i tak na bieżąco w naszej głowie się zmienia.

Poniżej znajduje się zerowa lekcja z cyklu Web Application Pentesting. Filmy są kręcone w FULL HD i 60fps.

Lekcja 1 – Przegląd narzędzi używanych w kursie

W tym wykładzie wideo przedstawiamy większość narzędzi, które będziesz potrzebował do trenowania z nami swoich umiejętności web pentestera. W dalszej części wpisu znajdują się linki.

Polecam szczególnie w przypadku zestawu usług XAMPP zaopatrzyć się w wersję 5.6.14-3. W innym przypadku możesz mieć problem z instalacją skryptu DVWA.

Aplikacje i odnośniki do lekcji 1:

Programy
Dodatki do przeglądarki Mozilla Firefox
  • Web Developer,
  • Live HTTP headers,
  • HackBar.

Lekcja 2 – Konfiguracja i instalacja narzędzi

W lekcji drugiej już nieco dłuższej pokazuje działanie serwera HTTP, PHP, MySQL, phpMyAdmin i przede wszystkim instalacje i konfiguracje oprogramowania Damn Vulnerable Web App.

Autorzy zaimplementowali w niej masę dziurawych funkcjonalności spotykanych na wielu stronach www. Dzięki niej nauczysz się penetrowania i zabezpieczania stron internetowych.

Podsumowanie o kursie naszej szkoły hakerów

Mam nadzieje, że spodoba Wam się ten cykl wideo. Prawdopodobnie przy większej ilości lekcji lub w momencie, gdy kurs zostanie zakończony powstanie na blogu specjalna podstrona grupująca wszystko w jedno. Na razie jest playlista Web Application Pentesting na YouTube. Jeśli masz jakieś pomysły, sugestie lub możesz Nas dowolnie w jakoś wspomóc odezwij się do nas w komentarzu lub w dziale kontakt.

Jak wam się podoba jakosć wideo lub dźwięku? Liczymy na wasz ciągły feedback bo chcemy doskonalić nasze materiały! Jeśli chcesz być na bieżąco subskruj nasz kanał na YouTube i fanpage haker.edu.pl. Powodzenia! 😉

 

21 thoughts to “Startujemy z nową wersją web szkoły hakerstwa na YouTube”

  1. Bardzo fajny pomysl. Polecam tez dla ambitnych strone hackthissite.com gdzie mozna wszystkie przedstawione w lekcjach techniki potestowac w symulowanym srodowisku, zblizonym do realiow.

    1. Kolega źle napisał nazwę domeny, to jest hackthissite.org 😉 Warto jakbys wspomniał o tej stronie w poradnikach, bo moża w końcu wypróbować cos z twoim lekcji 😀

    1. Dzięki podsiar! Spostrzegawczy jesteś, poprawione. Obie wersje i komercyjna i darmowa umożliwia wykonanie wszystkich lekcji, więc myślę że wzmianka jest zbędna ale dzięki za sugestie.

      TAK BTW: Ja sobie kiedyś ubzdurałem dawno temu, że to Burp Site i ciężko mi się przestawić :D.

  2. Witam, mam pewien problem, mianowicie w programie XAMPP wyskakuje mi Error:

    14:34:11 [Apache] Error: Apache shutdown unexpectedly.
    14:34:11 [Apache] This may be due to a blocked port, missing dependencies,
    14:34:11 [Apache] improper privileges, a crash, or a shutdown by another method.
    14:34:11 [Apache] Press the Logs button to view error logs and check
    14:34:11 [Apache] the Windows Event Viewer for more clues
    14:34:11 [Apache] If you need more help, copy and post this
    14:34:11 [Apache] entire log window on the forums

    Uruchomiłem jako administrator, lecz nie pomaga. Czy odblokowanie portów jest koniecznością? Jeśli tak, to czy mógłbym to zrobić samodzielnie?

    1. Po kliknięciu logs wyskakuje mi polecenia stworzenia nowego pliku (notatnik z błędami), gdyż taki nie istnieje. Po kliknięciu „tak” i ponownym włączeniu Apache w celu sprawdzenia błędu powiadomienie nadal się pojawia.

    2. I nic wtedy nie pisze w powiadomieniu? Spróbuj odinstalować całkowicie XAMPP i zainstalować „uruchom jako administrator” najnowszą wersje XAMPP. Następnie uruchom ponownie (chociaż za pierwszym razem) XAMPP jako administrator. Sprawdź czy problem w najnowszej wersji też wystepuje.

      Wydaje mi się, że jakaś inna aplikacja na Twoim komputerze może korzystać z portu HTTP 80 lub 443 z tego co XAMPP.

  3. Przy wirtualizacji Kaliego i odpaleniu Live, wyrzuca mi błąd „end Kernel panic”… Sposób na włączenie/wyłączenie opcji PAE/NX nie działa.

    1. A wpisywałeś ten błąd w wyszukiwarce internetowej Google, ponieważ jakieś wyniki z odpowiedziami zwraca? Ja nie jestem pracownikiem pomocy technicznej, ani Oracle ani Kali Linuxa. Ciężko mi odpowiedzieć na to pytanie z marszu jak to rozwiązać. A jaką wersje Kaliego próbujesz? Może ściągnij najnowszego VirtualBoxa i inny system Linux dla hakerów. Na naszym kanale YT jest film o innych dystrybucjach.

    1. Na dole piszę, że nie może się połączyć z bazą danych. Być może w obecnej konfiguracji MySQL musisz ustawić hasło użytkownika root bazy danych i skonfigurować go tak jak pisze na zrzucie ekranu w config.inc.php. Czyli w praktyce zmień hasło użytkownika root i dopisz to hasło w zmiennej db_password, którą widać na zrzucie ekranu.

  4. Cześć wszystkim, pewien czas temu zacząłem czytać na temat cyberbersecurity i jako osoba która lubi tworzyć strony internetowe, zainteresowałem się tym tematem oraz zacząłem uczyć się na tym kursie, w tej lekcji niestety trafiłem na problem bo nigdzie w internecie nie jestem w stanie znaleźć i pobrać programu z drugiej części lekcji konkretnie: „Cookie Cadger”. Jeśli ktoś z was jest w posiadaniu instalki do programu to proszę o komentarz.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *