Атаки на серверную часть веб-приложений

Средний

Атаки на серверную часть веб-приложений. Разберитесь с продвинутыми уязвимостями на стороне сервера, включая SSRF, XXE и манипуляции с JWT. Научитесь объединять недостатки в цепочки для чтения конфиденциальных файлов и подделки административных токенов.

cybersecurity-engineercybersecurity

💡 Этот учебник переведен с английского с помощью ИИ. Чтобы просмотреть оригинал, вы можете перейти на английский оригинал

Атаки на серверную часть веб-приложений

Изучите серверные веб-атаки, направленные на манипуляцию доверенным поведением бэкенда, а не на браузер пользователя. Эти уязвимости особенно опасны, так как позволяют злоумышленникам заставлять сервер обращаться к внутренним ресурсам, обрабатывать вредоносные документы или принимать поддельные токены аутентификации. В этом курсе вы узнаете, как работают SSRF, XXE и манипуляции с JWT, а также как злоумышленники объединяют их в цепочки для глубокого компрометирования серверной инфраструктуры.

Почему это важно

Серверные уязвимости подрывают доверие к архитектурным допущениям, на которые часто полагаются команды разработки. Если приложение может обращаться к внутренним сервисам от имени пользователя, читать локальные файлы через небезопасный парсинг или принимать поддельный токен, злоумышленник зачастую может обойти уровни сегментации и контроля доступа, которые кажутся надежными при внешнем осмотре.

Этот курс сфокусирован на высокоэффективных цепочках атак. Вы научитесь инициировать запросы от имени бэкенда, эксплуатировать уязвимости парсинга XML, анализировать и модифицировать JWT, а также комбинировать серверные слабости для извлечения секретных данных и имитации действий привилегированных пользователей.

Чему вы научитесь

Эксплуатировать SSRF для доступа к внутренним сервисам и защищенным ресурсам бэкенда.
Использовать XXE для чтения локальных файлов и извлечения конфиденциальных серверных данных.
Декодировать, анализировать и манипулировать токенами аутентификации на основе JWT.
Понимать, как доверие к токенам и особенности работы парсеров создают бреши в безопасности.
Объединять серверные уязвимости в цепочки для реализации сценариев получения привилегированного доступа.

План курса

Server-Side Request Forgery (SSRF): Принуждение целевого сервера к выполнению запросов, которые вы не можете отправить напрямую.
XML External Entity (XXE) Injection: Эксплуатация небезопасного парсинга XML для чтения конфиденциальных локальных данных.
JWT Manipulation Basics: Анализ структуры токенов и использование слабых мест в их валидации или обработке подписей.
Server-Side Exploitation Challenge: Практическое задание на объединение нескольких уязвимостей для восстановления секретов и обхода административных ограничений.

Для кого этот курс

Для тех, кто переходит от изучения базовых веб-уязвимостей к более глубокому анализу серверной эксплуатации.
Для специалистов по тестированию безопасности, которым нужна практическая отработка высокоэффективных векторов атак на бэкенд.
Для защитников (Defenders), желающих понять, как нарушаются границы доверия в веб-приложениях и API.

Результаты обучения

По завершении этого курса вы сможете выявлять и эксплуатировать распространенные серверные веб-уязвимости, объяснять причины их опасности и анализировать, как они объединяются в серьезные сценарии компрометации приложений.