2. Основы тестирования веб-приложений

Тестирование на проникновение достаточно сложный процесс, требующий больших знаний и систематического подхода. В этом курсе я постараюсь вам дать как можно больше информации в максимально простой и понятной форме. Что касается систематического подхода, то его основа уже давно была принята и в немного модифицированных формах широко используется профессионалами и даже целыми организациями. В этой разделе мы затронем следующие темы:

Методология тестирования – здесь объясняется из каких этапов состоит процесс тестирования, вкратце затронем фреймворк OWASP, который на сегодняшний день является стандартом тестирования веб-сайтов.

Категории и классификации атак – атаки могут быть направлены, как против самого сервера, так и против пользователя. Существует большое количество атак и техник, которые были разделены на клиентские и серверные. С помощью OWASP они также были распределены на определенные категории.

Сбор информации и сканирование сайта – данный этап самый занимает большую часть времени при тестировании. Очень важно собрать как можно больше информации о сайте и его пользователях. Мы рассмотрим на что обращать внимание, какие данные нам могут быть полезны и как их можно будет в дальнейшем использовать.

Необходимые программы – ни одна теория не обходится без практики. Мы разберем какие программы и операционные системы нам понадобятся для взлома, а также установим учебные уязвимые системы, чтобы было на чем оттачивать свои навыки.