Ataki na Strony Internetowe: Praktyczny Pentesting [HACKING]

1. Moduł 7 - Odsłuchywanie danych przez agresora

   Agresor może wykorzystać specjalnie spreparowany adres URL do wysłania do serwera informacji, które zwykle nie są przeznaczone dla niego. Na przykład, poprzez zastosowanie zapytania o plik, który jest poza zakresem zazwyczaj udostępnianych dla użytkowników, agresor może zobaczyć lub zdobyć dane, które powinny pozostać prywatne.

2. Moduł 8 - Atak path traversal

   Path traversal (zwany również "dot traversal") to typ ataku, w którym agresor próbuje przelazć poza docelowy katalog plików i dostąpić do plików na innym poziomie systemu plików. Może to być wykorzystane do odczytania wrażliwych plików, takich jak skrypty serwera, konfiguracje aplikacji lub nawet zapisywań użytkowników.

3. Moduł 10 - Wykorzystanie błędu filtrowania danych wejściowych

   Atakujący może skorzystać z słabo zaprojektowanego systemu filtracji danych wejściowych, aby przekazać nieuprawnione polecenia, które pozwalają na utworzenie nowego konta administratora. Wynikiem tego ataku może być zdobycie pełnych uprawnień na witrynie internetowej.

4. Moduł 11 - Atak wstrzyknięcia kodu PHP

   W tym modułcie uczestnik poznaje, jak agresor może wprowadzić wrogi kod PHP do systemu z zewnątrz, na przykład poprzez przesłanie obrazka lub zakodowany ciąg znaków, który jest wykonany jako część skryptu.

5. Moduł 12 - Atak wstrzyknięcia statycznego kodu

   Podobnie jak w przypadku wstrzyknięcia kodu PHP, atakujący może wprowadzić do systemu kod, który nie wymaga wykonania przez serwer (statyczny kod), na przykład poprzez przesłanie pliku HTML lub JavaScript, który jest wykorzystany bezpośrednio na stronie.

6. Moduł 13 - SQL injection

   Atak SQL injection polega na wstrzyknięciu kodu do zapytań SQL wysylanych przez użytkownika do bazy danych serwera. Może to umożliwić agresorowi zdobycie danych z bazy, ich modyfikację, usunięcie lub inne niebezpieczne działania.

7. Moduł 14 - Atak XSS (Cross Site Scripting)

   XSS pozwala agresorowi wstrzyknięć skrypty do stron internetowych widocznych innym użytkownikom. Może to prowadzić do kradzieży sesji, danych osobowych lub innych form malwariatu.

8. Moduł 14 ( kont.) - Podręcznik i płyty DVD

   Uczestnicy kursu otrzymują dodatkowy podręcznik oraz zestaw płyt DVD z materiałami szkoleniowymi.

9. Moduł 20 - Narzędzia do rozpoznawania i naprawiania włóchek (Cross-Site Scripting)

   W tym modułcie uczestnicy dowiązywają, jak zidentyfikować i naprawić luki w kodzie stron internetowych, które mogą być wykorzystane do ataków XSS. Zdobywają wiedzę na temat narzędzi, które pomagają w tym zadaniu.

10. Moduł 3 i dalej

    Pozostałe module kursu dotyczą kolejnych aspektów bezpieczeństwa informatycznego, takich jak ataki na protokoły, kryptografia, zabezpieczanie systemów i sieci, a także obrona przed atakami.

Powyższe moduły stanowią podstawę szkolenia w bezpieczeństwie komputerowego, zwłaszcza w kontekście zabezpieczania aplikacji i infrastruktury internetowej przed różnorodnymi atakami. Uczestnicy kursu nabywają praktyczne umiejętności pozwalające im rozpoznać i zapobiegać zagrożeniom cybersyntycznym. Warto zaznaczyć, że w praktyce zabezpieczenie systemów wymaga nie tylko wiedzy teoretycznej, ale również ciągłego testowania i aktualizacji systemów.