前一陣子在 FB 塗鴉牆看到了一位朋友放了一張圖片關於他寫信去一家知名網路書店告知收到客服的詐騙電話,但是這家線上網路書店回答並沒有讓客服人員直接與客戶聯絡,看到這位朋友底下留言,還不少人回應也接到類似的詐騙電話,這有兩種可能,一個是內鬼通外神,IT 人員將客戶資訊給洩漏出去了,另一種可能就是公司的網站被駭客入侵下載了所有的客戶資訊卻渾然不知。

這堂課主要針對網站的安全漏洞要如何偵測?講師將教你如何入侵網站發現安全漏洞也會教你如何修復這些安全漏洞。

附帶一提,在那位朋友圖片看到有網友聲稱再也不會到這家網路書店買書,網站出現安全漏洞,不僅危害到使用者權益 (洩漏個資,信用卡資訊 ) 也損害到了商譽,因此只要你的網站有從事購物,交易等商業行為,網路安全技術可是非比尋常的重要。

我將從這門課程中學到什麼?

  • 設置實驗室環境以練習駭客入侵
  • 安裝Kali Linux  – 一個滲透測試作業系統
  • 安裝 Windows 和易受攻擊的作業系統作為虛擬機器進行測試
  • 學習 linux 指令以及如何與終端機進行互動
  • 學習linux基礎
  • 了解網站和Web應用程式的工作原理
  • 了解瀏覽器如何與網站進行通訊
  • 收集有關網站的敏感資訊
  • 發現目標網站上使用的伺服器,技術和服務
  • 發現與特定網站相關聯的電子郵件和敏感數據
  • 尋找與網站相關聯的所有子網域
  • 發現與目標網站關聯的未發布目錄和檔案
  • 尋找與目標網站託管在同一伺服器上的所有網站
  • 發現,利用和修正檔案上傳漏洞
  • 利用進階檔案上傳漏洞並獲得對目標網站的完全控制
  • 使用 Proxy 攔截請求
  • 發現,利用和修正程式碼執行漏洞
  • 利用進階程式碼執行漏洞並獲得對目標網站的完全控制
  • 發現,利用和修正本地端檔案包含漏洞
  • 利用進階本地端檔案包含漏洞並獲得對目標網站的完全控制
  • 利用進階遠端檔案包含漏洞並獲得對目標網站的完全控制
  • 發現,修正和利用 SQL 注入漏洞
  • 繞過登錄表單並使用SQL注入以管理員身份登錄
  • 編寫SQL查詢以搜尋資料庫,表單和敏感資料,例如使用 SQL 注入的使用者名稱廣告密碼
  • 繞過過濾,並使用SQL注入以無密碼的管理員身份登錄
  • 採用SQL查詢以在更安全的頁面中發現和利用SQL注入
  • 繞過過濾和安全測量
  • 發現和利用盲目 SQL 注入
  • 使用 SQL 注入對伺服器讀取/寫入文件
  • 使用SQL注入完全控制目標伺服器
  • 快速補丁SQL注入
  • 學習正確的方法編寫 SQL 查詢以防止 SQL 注入
  • 發現基本和高級反射 XSS 漏洞
  • 發現基本和高級儲存的 XSS 漏洞
  • 發現基於DOM的XSS漏洞
  • 如何使用BeEF框架
  • 使用反射鉤受害者到 BeEF ,儲存和基於DOM的XSS漏洞
  • 從鉤到的受害者竊取憑證
  • 對鉤到的受害者執行 javascript 程式碼
  • 創建一個不可檢測的後門
  • 入侵鉤住的電腦,並獲得對它們的完全控制
  • 修復XSS漏洞並保護自己免於作為被他們控制的使用者
  • 使用暴力和wordlist攻擊的用意
  • 創建 worldlist 或是字典
  • 啟動 wordlist 攻擊和猜測管理員的密碼
  • 使用 Web proxy 自動發現所有上述漏洞
  • 在目標 Web 伺服器上執行系統命令
  • 訪問檔案系統(在目錄之間導航,讀/寫檔案)
  • 下載,上傳檔案
  • 繞過安全測量
  • 進入同一網路伺服器上的所有網站
  • 連接到資料庫並執行SQL查詢或將整個資料庫下載到本地機器

規定為何?

  • 基本IT技能

課程說明

歡迎來到我的Web應用程式駭客入侵全面課程網頁!在本課程中,你從沒有關於滲透測試或是駭客的先前知識初學者開始,。

本課程專注於滲透測試的實踐方面,但不忽視每次攻擊背後的理論。在進入滲透測試之前,你將首先學習如何設置實驗室並安裝所需的軟體,在自己的機器上進行滲透測試。

然後你將學習什麼是網站,它是如何運作,它依賴什麼,一台 Web 伺服器,資料庫是什麼用途,以及所有這些組件如何協同運作,以支援我們運行的網站,

一旦你了解網站如何運作,我們將開始談論如何利用這些組件和這種通訊方法來執行一些強大的攻擊。本課程將帶你從初學者到更高級的水平 – 到你完成的時候,你將能夠發動攻擊和測試網站和Web應用程式的安全性,與黑帽駭客做的完全相同,不僅如此,但你將能夠修復這些漏洞並保護網站。本課程中解釋的所有攻擊都是針對我實驗室中的真實設備發起的。

課程分為三個主要部分:

1.資訊收集 – 本節將教你如何收集有關目標網站的資訊,你將了解如何發現使用的 DNS 伺服器,服務,子網域,未發布的目錄,敏感檔案, 使用者電子郵件,同一伺服器上的網站,甚至是網路託管供應商。此資訊至關重要,因為它增加了能夠成功入侵目標網站的機會。

2. 發現,利用和修復 – 在本節中,你將學習如何發現,利用和修復大量的漏洞,本節分為多個子部分,每個都包括一個特定的漏洞,首先你將了解該漏洞是什麼它允許我們做什麼,然後你將學習如何利用這個漏洞,最後,我們將看看導致此漏洞的程式碼,並告訴你如何解決它,並保護網站,以下漏洞被覆蓋在課程中:

  • 檔案上傳:此漏洞允許攻擊者在目標Web伺服器上上傳可執行的檔案,利用這些漏洞正確地讓你對目標網站的完全控制。
  • 程式碼執行 – 此漏洞允許使用者在目標 Web 伺服器上執行系統程式碼,這可以用於執行惡意程式碼,並獲得反向 shell 訪問,這使攻擊者完全控制目標 Web 伺服器。
  • Local File inclusion – 此漏洞可用於讀取目標伺服器上的任何檔案,這可以利用來讀取敏感檔案,我們不會停止在那,你將學習兩種方法來升級此漏洞,並獲得一個反向shell連接,使你能夠完全控制目標Web伺服器。
  • Remote File inclusion – 此漏洞可以載入遠端檔案在目標 Web 伺服器上,利用此漏洞正確地使你完全控制目標 Web 伺服器。
  • SQL注入 – 這是課程中最大的部分之一,這是因為這是最危險的漏洞之一,發現它無處不在,不僅是,但它可以利用允許我們來做上述漏洞所有和更多的事情,所以它允許你以管理員身份登錄,而無需知道密碼,進入資料庫並獲取所有儲存在那裡的資料,如使用者名稱,密碼,信用卡….等,讀取儲存在伺服器中的檔案,將檔案寫入服務器,甚至獲得一個反向shell訪問權限,使你可以完全控制Web伺服器!
  • XSS  – 此漏洞可用於對於訪問有弱點頁面的使用者執行JavaScript程式碼,我們不會停止,你將學習如何竊取使用者的憑證(如facebook或youtube密碼),甚至獲得他們的電腦的完全訪問權限。 你將學習所有三種類型(反射,儲存和基於DOM)。
  • 不安全的 session 管理 – 在本節中,你將了解如何利用 Web 應用程式中不安全的 session 管理,並在不知道密碼的情況下登錄其他用戶帳戶, 你還將學習如何發現和利用CSRF(跨站請求偽造)。
  • 暴力和字典攻擊 – 在本節中,你將了解這些攻擊是什麼,它們之間的區別和如何啟動它們,在成功的情況下,你將能夠猜到你的目標登錄的密碼。

3. Post Exploitation  – 在本節中,你將了解你可以透過利用上述漏洞獲得的訪問權限,你將學習如何將反向shell訪問轉換為Weevely訪問,反之亦然,你還將學習如何在目標伺服器上執行系統命令,在目錄之間瀏覽,訪問同一伺服器上的其他網站,上傳/下載文件,訪問資料庫甚至將整個資料庫下載到本地端電腦,你將學習如何繞過安全性,做以上所有這些入侵,即使你沒有權限這樣做!

本課程中的所有攻擊都是針對任何真實網站的實際攻擊,在每個漏洞中,你將學習基本的攻擊,然後你將學習高級方法,將給你更多的權限或允許你繞過安全測量 — 你將學習如何和為什麼這些漏洞是可利用的,如何解決它們,以及什麼是正確的做法可以避免它們。

注意:本課程僅為教育目的而創建,所有攻擊都在我自己的實驗室或對我有權限測試的設備上啟動。

注意:本課程完全是Zaid Sabih的產品,沒有其他組織與它或認證考試相關聯。雖然,您將收到Udemy的課程完成認證,除此之外沒有其他組織。

目標受眾是誰?

  • 任何有興趣學習網站和 Web 應用程式駭客/滲透測試的人
  • 任何想要了解駭客如何破解網站的人
  • 任何人想要學習如何保護網站和 Web 應用程式防止駭客入侵
  • Web開發人員,以便他們可以創建安全的Web應用程式和保護他/她們現有的網站
  • 網頁管理員,以便他/她們可以保護他們的網站

講師簡介

Zaid Sabih,道德駭客、滲透測試和資訊科學家

我的名字是Zaid Al-Quraishi,我是一個道德駭客、滲透測試和資訊科學家。

我喜歡研究駭客技術且不喜歡依循常規,但不要誤會我,因為我是一個道德駭客。

我在道德駭客技術上的經驗很豐富。 從2009年起我開始在一個道德駭客網站(iSecuri1ty)製作視訊課程,我收到了很好的回響。我的課程讓我被提拔為這個網站的編輯。我也在iSecur1ty的滲透測試團隊工作。

在2013年,我開始在iSecur1ty培訓中心的線上教授我的第一個課程,這個課程再次獲得學生很棒的回饋,這促使我製作一個英文版的課程。

這門英文版的課程在Udemy維持 一年最受歡迎的付費課程之一,再次獲得很好的迴響,因此我決定做更多關於道德駭客的課程。

我的教學方法大多是透過範例,所以我通常從解釋每種技術背後的理論,然後告訴你它在現實生活中如何運作。

英文字幕:有

  • 想要了解如何將英文字幕自動翻譯成中文? 請參考這篇 How-To

 課程網址  ♥找優惠折扣碼?

也許你會有興趣

喜歡我們的分享嗎?使用以下的社群分享按鈕分享給你的朋友吧!

Join the conversation! 4 Comments

  1. 請問這是中文課程教學嗎?

    按讚數

    回應
  2. 那麼課程是英文的, 是否有提供中文字幕呢?

    按讚數

    回應

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s

分類

01-onlinecourse

標籤

,