Kursüberblick

Willkommen zu diesem umfassenden Kurs über Penetrationstests für Webanwendungen. Für den Kurs sind keine Vorkenntnisse im Testen von Sicherheitslücken in Webanwendungen erforderlich. Auch Programmierkenntnisse sind nicht erforderlich, obwohl dies wünschenswert wäre.

Dieser Kurs behandelt Schwachstellen in Webanwendungen auf praktische Weise und verwendet dazu praktische Übungen, die zu Demonstrationszwecken konzipiert sind. Der Kurs enthält einen theoretischen Teil zur Erläuterung der Konzepte und einen praktischen Teil zur Demonstration. Der theoretische Teil des Kurses ist ebenfalls in einer herunterladbaren PDF-Datei enthalten.

Sie lernen alles durch praktisches Handeln und der Kurs zeigt praktische Demonstrationen anfälliger Systeme, die darauf ausgelegt sind, Ihre Fähigkeiten im Bereich Penetrationstests von Webanwendungen zu üben.

Kursinhalte | Der komplette praktische Kurs zum Penetrationstest von Webanwendungen

  • Einführung in Injektionsschwachstellen
  • SQL-Injection – Umgehung der Authentifizierung
  • SQL-Injection – Fehlerbasiert
  • SQL-Injection – Blind Boolean-basiert
  • SQL-Injection – Blindzeitbasiert
  • SQL-Injection mit SQLmap
  • Befehlsinjektion
  • Defekte Authentifizierung
  • Offenlegung sensibler Daten
  • Defekte Zugangskontrolle
  • SSRF – Serverseitige Anforderungsfälschung
    XSS – Cross-Site-Scripting
    CSRF – Cross-Site-Request-Forgery
     
    SSTI – Serverseitige Template-Injection
    XXE – XML Externe Entity-Injektion
    JWT – JSON Web Token-Sicherheitslücken
     

Testimonials (LinkedIn)

Wie kaufe ich den vollständigen praktischen Kurs zum Penetrationstest von Webanwendungen?

Sie können die Broschüre direkt kaufen, indem Sie auf die Schaltfläche unten klicken

Holen Sie sich den Kurs

Wie viele Videos umfasst der Kurs?

Der Kurs „Web Application Penetration Testing“ umfasst insgesamt 18 Videos mit Lehrinhalten mit einer Dauer von 4–5 Stunden.

Was Sie in diesem Kurs lernen werden: Der vollständige praktische Kurs zum Penetrationstest von Webanwendungen

· Verstehen Sie die Methodik des Penetrationstests für Webanwendungen

· Verstehen Sie die Konzepte der Schwachstellen von Webanwendungen

· Sie können manuelle Tests von Schwachstellen in Webanwendungen durchführen

Voraussetzungen


  • Grundkenntnisse über das Web.

  • Es ist keine Programmierung erforderlich


Was sind die OWASP TOP 10-Schwachstellen?

1- Injektionsschwachstellen: Injection-Schwachstellen sind auf heutigen Websites weit verbreitet. In diesem Abschnitt erfahren Sie, was eine Injection-Schwachstelle verursacht, und können deren Existenz aufdecken, indem Sie die richtigen Teile in jeder Webanwendung durchsuchen und testen. In den Injection-Schwachstellen behandeln wir die folgenden Kategorien

· SQL-Injektion: Die häufigsten Schwachstellen in Datenbanken. Sie lernen die verschiedenen Arten von SQL-Injection-Schwachstellen kennen und lernen, wie Sie SQL-Injection testen und aufdecken, indem Sie praktische Übungen an anfälligen Seiten durchführen.

· SQLmap: Nachdem Sie gelernt haben, wie Sie manuell auf SQL-Injection testen, erfahren Sie hier, wie Sie Ihre Tests mit einem der beliebtesten Tools für SQL-Injection automatisieren können.

· Befehlsinjektion: Command Injections sind eine der gefährlichsten Schwachstellen bei Webanwendungen, da sie eine vollständige Übernahme des Systems ermöglichen. In diesem Abschnitt erfahren Sie, wie Sie eine Command Injection-Schwachstelle erkennen und einen Proof of Concept durchführen.

2- Defekte Zugriffskontrolle: Diese Schwachstelle ist ab 2022 auch in der OWASP-Top-10-Liste enthalten. Wir werden uns damit befassen, Schwachstellen in einer Website aufzudecken, die einen uneingeschränkten Zugriff auf sensible Ressourcen ermöglichen würden.

3- Fehlerhafte Authentifizierung: In diesem Abschnitt erfahren Sie, wie Sie Authentifizierungsmethoden wie Anmeldeformulare umgehen.

4- JSON-Web-Tokens: JWTs gelten nicht als Sicherheitslücke in Webanwendungen, sondern als eine Art Cookies, die zur Autorisierung verwendet werden. In diesem Abschnitt werden wir den Prozess der Darstellung der Mechanismen zum Testen und Ausnutzen dieser Token durchgehen.

5- Offenlegung sensibler Daten: In diesem Abschnitt werden Techniken vorgestellt, mit denen festgestellt werden kann, ob eine Website über Sicherheitsmaßnahmen gegen Datenlecks verfügt.

6- SSRF, auch serverseitige Anforderungsfälschung genannt: Eine der kürzlich zur OWASP-Top-10-Liste hinzugefügten Schwachstellen. Sie erfahren, wie Sie sie nutzen können, um eine Website dazu zu bringen, vertrauliche Ressourcen preiszugeben und intern laufende Dienste zu laden.

7- SSTI, auch bekannt als Server Side Template Injection: Darüber wird nicht oft gesprochen, aber in diesem Abschnitt wird erläutert, wie eine solche Sicherheitslücke zu verheerenden Folgen wie Befehlsinjektion und vollständiger Systemübernahme führen kann.

8- XSS, auch bekannt als Cross Site Scripting: Sehr bekannte und weit verbreitete Sicherheitslücke in Webanwendungen. In diesem Abschnitt erklären wir Stored, Reflected und DOM-basiertes XSS praktisch.

9- XXE, auch bekannt als XML External Entity Injection: Eine Sicherheitslücke, die durch eine schlechte XML-Implementierung entsteht. Wir erklären, wie XML funktioniert und sehen verschiedene Techniken zur Nutzung von XXE.

10- CSRF, auch bekannt als Cross-Site-Request-Forgery: Sehr verbreitete Sicherheitslücke, die bei Ausnutzung nicht authentifizierte Aktionen gegen Benutzer ermöglicht. Wir lernen praktisch, wie man eine Testumgebung zum Aufdecken von CSRF durchführt und einrichtet.

Kostenloses Training zum Penetrationstest von Webanwendungen

Schauen Sie sich die Playlist unten auf meinem YouTube-Kanal für kostenlose Schulungen zum Penetrationstest von Webanwendungen an