Approche pratique des pentesters pour la chasse aux bogues et la prime aux bogues

Bienvenue dans le cours Approche pratique pour la chasse aux bogues et Bounty de bogues pour les pentesters. Vous aurez besoin d’un état d’esprit optimiste et d’une volonté d’apprendre à apprécier ce cours.

Vous découvrirez le côté pratique des testeurs d’intrusion et des chasseurs de bogues dans ce cours. Nous avons vu comment les systèmes de primes aux bogues permettent à certains pen-testeurs de gagner des millions de dollars chaque année. De nombreux cours fournissent aux étudiants des outils et des notions qu’ils n’utiliseront jamais dans le monde réel. Nous ne couvrirons que les outils, les concepts et les démonstrations pratiques en direct dans ce cours qui vous aideront à réussir en tant que chercheur en sécurité et chasseur de bogues. La formation est très pratique et couvrira tous les sujets importants.

Il s’agit d’une formation pratique à court terme adaptée aux débutants qui couvre plusieurs techniques offensives et approches stratégiques pour tester une application Web.

Points à retenir : Après avoir terminé ce cours, vous serez en mesure d’identifier une variété de vulnérabilités que vous avez peut-être négligées tout au long de votre évaluation.

Les modules couverts dans ce cours comprennent:

• Définir le périmètre de la cible
• Comprendre la logique de la logique métier d’une application.
• La cartographie des menaces est une technique d’identification des menaces potentielles.
• Une reconnaissance basée sur la portée est en cours.
• Le pentesting manuel est un type de pentesting qui se fait à la main.
• Des attaques spécifiques aux applications sont menées.
• Juice Shop est une introduction au magasin.
• Le commerce des jus est martelé.
• Navigation dans l’application vers chaque fonctionnalité.
• Attaques d’énumération contre SSL/TLS.
• Exploits avec une bannière.
• Énumération des versions.
• FTP Exploration est utilisé pour récupérer des données sensibles.
• Recherchez les informations divulguées dans la source de la page.
• Défauts d’autorisation dans l’authentification
• Exploits XSS.
• Attaques par injection.
• Contournement de la validation côté client.
• Attaque de la pollution sur les paramètres
• Attaque sur le transfert de données en le forçant.
• Les défauts de la session
• IDOR et chasse aux injections
• Chasse à l’escalade de privilèges.
• Utilisez la fonction de téléchargement de fichiers à votre avantage.
• Contournement des contrôles de niveau de rôle
• Le contournement de la logique métier est une vulnérabilité qui peut être exploitée.
• Le contrôle d’accès est un gâchis.
• Gateway for Payments Tente de contourner le système
• Une faille de validation côté serveur a été découverte.

Ce cours était destiné uniquement à des fins pédagogiques. Toutes les attaques montrées ont été menées avec consentement. Veuillez ne pas attaquer un hôte à moins d’en avoir reçu l’autorisation.