Ethical Hacking Modern Web Exploitation - EHMWX
Sobre o Curso...
O curso Ethical Hacking Modern Web Exploitation (EHMWX) apresenta técnicas ofensivas de exploração de sistemas Web com foco em casos de sucesso recentes, ou seja, as classes de vulnerabilidades que estão sendo exploradas atualmente.
A relevância dos sistemas web é cada vez mais crescente, o que implica em uma preocupação maior com a segurança desses sistemas. Pois, além de armazenarem e processarem dados vitais às empresas, eles também são comumente usados como porta de entrada de ataques cibernéticos para um comprometimento total da infraestrutura de uma organização. Desta forma, o curso se concentra no aspecto da exploração no lado servidor dos sistemas, o que, no geral, resulta em uma atividade de elevado impacto.
O curso pretende abordar diversas tecnologias e linguagens de desenvolvimento de sistemas web, tais como: Java, NodeJS, PHP e Python. Dentre os diversos tipos de vulnerabilidades, serão trabalhados: Desserialização em PHP e Java, Prototype Pollution (NodeJS), Server Side Request Forgery, Template Injection (Python, PHP e Java), HTTP Request Smuggling, GraphQL e outros tópicos que, apesar de não serem recentes, ainda são atuais e relevantes devido a novas descobertas.
Vale ressaltar que o curso não trata de temas básicos sobre exploração de sistemas web e, por esse motivo, ter um conhecimento sólido das vulnerabilidades básicas e as respectivas técnicas de exploração é altamente recomendável.
Por fim, a metodologia adotada compreenderá a explicação teórica das vulnerabilidades, com debate sobre casos de explorações reais e práticas em ambientes simulados. Ainda, sempre que adequado, será mostrado como é possível descobrir as referidas vulnerabilidades, sob a ótica de um pesquisador.
O que vou aprender?
Entender técnicas atuais de exploração de sistemas web
Realizar análise avançada de códigos de aplicações web para encontrar falhas
Utilizar formas criativas e inovadores para encontrar e explorar falhas em aplicações web
Descobrir e explorar vulnerabilidades do tipo SSRF
Descobrir e explorar vulnerabilidades do tipo XXE
Descobrir e explorar vulnerabilidades de desserialização em sistemas Java
Descobrir e explorar vulnerabilidades de desserialização em sistemas PHP
Descobrir e explorar vulnerabilidades do tipo Prototype Pollution para alcançar RCE em sistemas NodeJS
Descobrir e explorar vulnerabilidades de Expression Language Injection
Entender e explorar HTTP Request Smuggling
Entender e explorar API em GraphQL
Treinamento ministrado em parceria com a GoHacking
Carga Horária: 40 Horas
Categoria: Red Team | Pentest
Nível: Avançado
Idioma: Português – BR
Conhecimento prévio desejável
Familiaridade com protocolos tradicionais de rede (HTTP, HTTPS, DNS, SSL/TLS)
Conhecimento básico de linguagens de programação comumente utilizadas em aplicação web (PHP, Java, JavaScript, Python)
Familiaridade com o Sistema Operacional Linux e comandos do shell
Habilidade para escrever scripts simples em Python, Perl, PHP e Bash
Familiaridade com web proxies, tais como Burp Suite e ferramentas similares
Conhecimentos básicos em exploração de Sistemas Web
Familiaridade com conceitos e metodologias de Pentest em Aplicações Web
Entendimento e familiaridade com as falhas descritas no OWASP Top 10 mais recente
Familiaridade com softwares de Virtualização, tais como VMWare
Capacidade de manipular e configurar Máquinas Virtuais
Interesse em entender as vulnerabilidades de impacto crítico que afetam o backend de aplicações web
Público Alvo
Analista de Segurança da Informação
Especialistas em Segurança da Informação
Pentesters
Membros de Red Team
Bug Hunters
Desenvolvedores
Membros de CSIRT
Analista de SOC
Pesquisadores da área de Segurança da Informação
Profissionais de TI com interesse e afinidade na área de Segurança da Informação
Entusiastas de Segurança da Informação