Web-Recon & Intercepting Proxies

Web-Reconnaissance & Intercepting Proxies

Lernen Sie die Grundlagen der Web-Reconnaissance und der HTTP-Interzeption – die entscheidenden Fähigkeiten, um von einer einfachen URL zu einer fundierten Analyse der dahinterliegenden Anwendung zu gelangen. Moderne Web-Ziele offenbaren oft versteckte Verzeichnisse, undokumentierte Parameter, virtuelle Hosts und APIs, die über die Hauptoberfläche nicht sichtbar sind. Dieser Kurs vermittelt Ihnen, wie Sie diese Angriffsflächen aufdecken, das rohe HTTP-Verhalten untersuchen und gezielt über die Kommandozeile mit Webanwendungen interagieren.

Warum das wichtig ist

Viele schwerwiegende Sicherheitslücken werden nicht durch direkte Exploits, sondern durch gründliche Aufklärung (Reconnaissance) entdeckt. Wenn Sie versteckte Endpunkte, ungewöhnliche Parameter oder API-Verhaltensweisen nicht identifizieren können, entgeht Ihnen die gesamte Angriffsfläche. Daher ist eine disziplinierte Web-Reconnaissance eine Kernkompetenz sowohl für Sicherheitstests als auch für die defensive Validierung.

Dieser Kurs konzentriert sich darauf, wie Webanwendungen tatsächlich kommunizieren. Sie werden versteckte Inhalte mittels Fuzzing aufspüren, Anfragen untersuchen und modifizieren, mit APIs interagieren und ein präzises Bild der Zielumgebung erstellen, bevor Sie mit tiefergehenden Exploits beginnen.

Was Sie lernen werden

• Entdecken Sie versteckte Verzeichnisse, Dateien, Parameter und virtuelle Hosts mit Web-Fuzzing-Tools.
• Untersuchen und modifizieren Sie rohe HTTP-Anfragen und -Antworten mithilfe von Kommandozeilen-Workflows.
• Interagieren Sie mit APIs unter Verwendung verschiedener HTTP-Methoden und strukturierter JSON-Ausgaben.
• Identifizieren Sie Web-Oberflächen, die über den Browser allein nicht sichtbar sind.
• Erstellen Sie eine umfassende Karte der exponierten Infrastruktur einer Zielanwendung.

Kurs-Roadmap

• Verzeichnis- und Datei-Fuzzing: Nutzen Sie ffuf und gobuster, um versteckte Pfade und Dateien zu identifizieren.
• Erweitertes Web-Fuzzing (Parameter & Vhosts): Erweitern Sie die Suche auf undokumentierte Parameter und versteckte virtuelle Hosts.
• Grundlagen der HTTP-Interzeption: Erstellen, modifizieren und analysieren Sie HTTP-Traffic manuell mit Tools wie curl.
• API-Interaktion und -Analyse: Erkunden Sie REST-basierte APIs, Authentifizierungsabläufe und JSON-Antworten.
• Web-Infrastruktur-Mapping-Challenge: Wenden Sie Ihre Recon- und Interzeptions-Fähigkeiten an, um eine versteckte Web-Oberfläche aufzudecken und ein sensitives Token zu extrahieren.

Für wen dieser Kurs geeignet ist

• Lernende, die in die Phase der Websicherheit einsteigen.
• Penetration Tester, die ihre Enumerations-Disziplin stärken möchten.
• Verteidiger, die validieren wollen, welche Informationen ihre Webanwendungen und APIs nach außen preisgeben.

Ergebnisse

Nach Abschluss dieses Kurses sind Sie in der Lage, versteckte Web-Assets zu enumerieren, das HTTP-Verhalten präziser zu analysieren und eine solidere Grundlage für das Testen von Authentifizierungs-, Autorisierungs- und Injektionsschwachstellen zu schaffen.