Фильтрация по тегу:

securitysecurity

Основы анализа безопасности веб-проектов


Совсем недавно прошел на платформе Stepik курс "Анализ безопасности веб-проектов", от mail.ru. Этот пост представляет собой что-то вроде конспекта курса, который писался по мере прохождения, для того, чтобы проще было систематизировать информацию и обращаться к ней спустя какое-то время. Помимо содержимого курса, старался дополнять материал ссылками на показавшиеся интересными и полезными статьи/ресурсы для более глубокого знакомства с темой.

Общий подход курса - посмотреть на целевую систему со стороны злоумышленника. Для этого выделена определенная последовательность шагов - сбор информации, обзор возможных точек входа в целевую систему, поиск веб-уязвимостей, поиск уязвимостей со стороны клиента, пост-эксплуатация найденных уязвимостей.

В курсе освещаются (поверхностно, но достаточно, для общего понимания принципов и возможности углубиться самостоятельно) такие уязвимости и направления атаки, как локальное включение данных, инъекция команд, SQL-инъекции, CSRF, XSS и другие.

Перед тем, как перейти к основной части конспекта - хотелось бы оговорить две вещи:

  1. чтение данного поста не заменит прохождение самого курса, т.к. в нем есть весьма и весьма интересные задачи.
  2. если вы - автор/правообладатель курса и вы против публикации такого рода конспекта - напишите сюда