WEB-300 with OSWE Certification

Poziom zaawansowania:

Na kursie Advanced Web Attacks and Exploitation (WEB-300) nauczysz się zaawansowanych technik ewaluacji bezpieczeństwa aplikacji webowych. Rozwiniesz umiejętności potrzebne do wykonywania pentestów w metodyce white box.

Kurs został zaktualizowany o nowe i odświeżone moduły w 2021.

OSWE Certification

Testy penetracyjne z Kali Linux

Udoskonalona wersja kursu WEB-300 zawiera trzy nowe moduły, ulepszone materiały, nowe maszyny laboratoryjne oraz odświeżone materiały wideo.

Ukończenie kursu i zdanie egzaminu skutkują uzyskaniem certyfikacji Offensive Security Web Expert (OSWE), która dowodzi opanowania metod testowania aplikacji webowych na najwyższym poziomie. OSWE jest jednym z trzech certyfikatów umożliwiających uzyskanie Offensive Security Certified Expert (OSCE).

 

Informacje o kursie

Co nowego?

Trzy nowe moduły:

  • Cross-Origin Resource Sharing (CORS), CSRF i RCE
  • JavaScript Prototype Pollution
  • Zawansowane Server Side Request Forgery

Aktualizacja modułu "Narzędzia i Metodyka"

  • Wzbogacony o nową treść Analiza Kodu Źródłowego (Source Code Analysis)
  • Instruktaż debugowania zdalnego
  • Po jednej nowej maszynie i aplikacji do każdego dodanego modułu
  • Aktualizacja materiałów wideo

Korzyści

Nauczysz się:

  • Wykonywania dogłębnej analizy kodu źródłowego aplikacji webowych
  • Identyfikowania logicznych podatności, które unikają zautomatyzowanym skanom podatności
  • Łączenia logicznych podatności w celu stworzenia dowodów dla możliwości przeprowadzanych ataków
  • Wykonywania ataków przez łączenia podatności w celu podniesienia ich skuteczności

O egzaminie

  • Kurs WEB-300 i laboratoria wirtualne przygotowują do egzaminu certyfikującego OSWE
  • Egzamin trwa 48h
  • Egzamin jest nadzorowany

Dla kogo jest ten kurs?

  • Doświadczeni testerzy bezpieczeństwa chcący rozwinąć swoje umiejętności w tematyce ewaluacji white box aplikacji webowych
  • Specjaliści bezpieczeństwa aplikacji webowych
  • Specjaliści technologii webowych pracujący z kodem źródłowym i bezpieczeństwem infrastruktury aplikacji

Wymagania

By przystąpić do kursu powinieneś:

  • Dobrze poznać przynajmniej jeden język programowania
  • Znać system Linux
  • Posiadać umiejętność pisania prostych skryptów w języku Python / Perl / PHP / Bash
  • Posiadać doświadczenie z web proxy
  • Mieć ogólne zrozumienie wektorów ataku aplikacji webowych w teori i praktyce

Jak kupić kurs?

Pojedynczy kurs

$1649
90 dni dostępu do laboratoriów treningowych
Jedno podejście do egzaminu
Samodzielna nauka

Learn Unlimited

$5499
Dostęp do wszystkich kursów online
Access for training lab for 365 days
Unlimited exam attemtps
Additional content

* Możesz uzyskać rabat – sprawdź program Aspire and Achieve

Chcesz poznać szczegółowe ceny?

Detailed information

Sylabus

Kurs WEB-300 dotyczy testowania aplikacji webowych w metodyce white box. Większość tematów skupia się na analizowaniu kodu źródłowego, dekompilowaniu kodu Javy, debugowaniu plików DLL, manipulowaniu zapytaniami HTTP oraz wykorzystywaniu narzędzi takich jak Burp Suite, dnSpy, JD-GUI, Visual Studio. Następujące tematy są poruszane dogłębnie w zebranych materiałach.

  • Cross-Origin Resource Sharing (CORS), CSRF i RCE
  • JavaScript Prototype Pollution
  • Zaawansowane Server Side Request Forgery
  • Narzędzia i metodyki web security
  • Analiza kodu źródłowego
  • Persistent cross-site scripting
  • Session hijacking
  • deserializacja .NET
  • Remote code execution
  • Blind SQL injections
  • Data exfiltration
  • Omijanie zabezpieczeń uploadowania plików i filtrów rozszerzeń
  • PHP type juggling with loose comparisons
  • Rozszerzenia PostgreSQL and funkcje definiowane przez użytkownika
  • Omijanie zabezpieczeń REGEX
  • Magic hashes
  • Omijanie zabezpieczeń znaków specjalnych
  • UDF reverse shells
  • PostgreSQL large objects
  • DOM-based cross site scripting (black box)
  • Server side template injection
  • Słabości w generowaniu losowych tokenów
  • XML external entity injection
  • RCE przy użyciu funkcji bazodanowych
  • OS command injection przez WebSockets (black box)

Jakie kompetencje uzyskasz dzięki kursowi?

  • Przeprowadzanie zaawansowanych audytów kodów źródłowych aplikacji webowych
  • Analizowanie kodu, tworzenie skryptów i przeprowadzanie ataków na aplikacje webowe
  • Implementowanie wielopoziomowych ataków łączących wiele podatności
  • Kreatywne i wielotorowe podejście pozwalające na wykrywanie nowatorskich metod atakowania aplikacji webowych

W nauce wesprze Cię

  • 10 godzin materiałów wideo
  • Ponad 410 stron podręcznika kursu w formie PDF
  • Prywatne laboratoria
  • Forum studentów
  • Dostęp do środowiska laboratoriów wirtualnych

Cennik

Wszystkie ceny podano w USD (dolarach amerykańskich) netto. Umożliwiamy również płatność w PLN (złoty) – w tym przypadku ostateczna kwota do zapłaty przeliczona zostanie po aktualnym kursie NBP z dnia podjęcia decyzji o zakupie produktu. Do cen należy doliczyć 23% podatku VAT.

Jeżeli szkolenie i kurs finansowany jest ze środków publicznych (dotyczy jednostek sektora publicznego) skontaktuj się z nami w celu uzgodnienia ceny.

  • Kurs indywidualny
    $1649
    Kurs WEB-300 + 90 dni dostępu do laboratorium + 1 podejście do egzaminu OSWE
  • Subskrypcja Learn One
    $2599*
    Kurs WEB-300 (2 podejścia do egzaminu) + Kurs PEN-210 (1 podejście do egzaminu) + 365 dni dostępu do laboratorium + Kurs WEB-100 + Kurs Kali Linux Certified Professional (KLCP) (1 podejście do egzaminu) + Proving Grounds Practice (PG Practice)
  • Subskrypcja Learn Unlimited
    $5499
    Wszystkie kursy* + 365 dostępu do laboratorium + Kurs WEB-100 + Kali Linux Certified Professional (KLCP) + nielimitowane podejścia do egzaminów + Proving Grounds Practice (PG Practice)
  • Powtórne podejście do egzaminu OSWE
    $249
  • Przedłużenie czasu dostępu do laboratorium o kolejne 30 dni
    $359

Note: One subscription is needed per student. Sharing a subscription with more than one student is a violation of OffSec's academic policy and can lead to being banned.

* Możesz uzyskać rabat – sprawdź program Aspire and Achieve

Purchase subscriptions

Jeśli jesteś zainteresowany zakupem kursu, bądź masz jakiekolwiek pytania, skontaktuj się z nami za pomocą formularza kontaktowego.

Chcesz zachować poufność? Pobierz nasz klucz PGP/GPG i wyślij zaszyfrowaną wiadomość na adres [email protected].

Fields marked with * are mandatory.