Сертифицированный эксперт по эксплуатации веб-приложений Hack The Box (HTB CWEE) (часть 1/2024) HTB Academy

Сертифицированный эксперт по эксплуатации веб-приложений Hack The Box (HTB CWEE) (часть 1/2024) HTB Academy

100

Категории: ,

Атаки с внедрением

Автор курса: HTB Academy

Сайт автора: academy.hackthebox_com/preview/certifications/htb-certified-web-exploitation-expert/certification-steps

 

Модуль 01: Атаки с внедрением

Существует множество уязвимостей внедрения кода, наиболее известными из которых являются SQL‑инъекции, межсайтовый скриптинг (XSS) и внедрение команд. Несмотря на то, что именно они действительно чаще всего встречаются в реальных веб‑приложениях, существуют и другие, менее известные уязвимости внедрения. Поскольку подобные уязвимости внедрения встречаются реже и менее известны, разработчики зачастую не осведомлены о них и, как следствие, игнорируют способы защиты от них. Если нам удается найти веб‑сайт, на котором используются XPath, LDAP или библиотеки генерации PDF, то его тестирование на подобные атаки может позволить нам продвинуться дальше в ходе наших работ.

В этом модуле рассматриваются три атаки с применением инъекций: XPath-инъекции, LDAP-инъекции и HTML-инъекции в библиотеках генерации PDF. Уязвимости XPath- и LDAP-инъекций могут приводить к обходу аутентификации и извлечению данных. HTML-инъекции в библиотеках генерации PDF могут приводить к подделке запросов на стороне сервера (SSRF), локальному включению файлов (LFI) и другим распространенным веб-уязвимостям.Мы обсудим, как выявлять, эксплуатировать и предотвращать каждый из этих типов атак с внедрением.

Ключевые темы модуля:

  • Введение в атаки с внедрением
  • Введение в XPath-инъекции
  • XPath – обход аутентификации
  • XPath – извлечение данных
  • XPath – продвинутое извлечение данных
  • XPath – эксплуатация вслепую
  • Предотвращение XPath-инъекций и инструменты
  • Введение в LDAP-инъекции
  • LDAP – обход аутентификации
  • LDAP – извлечение данных и эксплуатация вслепую
  • Предотвращение LDAP-инъекций
  • Введение в уязвимости генерации PDF
  • Эксплуатация уязвимостей генерации PDF
  • Предотвращение уязвимостей генерации PDF

Дата релиза: 2024
Тип перевода: перевод с английского языка на русский
Формат: PDF
Объем оригинала: 15 модулей
Объем перевода 1-й части: Модуль 01: Атаки с внедрением (~55 стр.)