掌握Burp Suite Pro:100%实际动手操作
掌握Burp Suite Pro:100%实际动手操作
培训讲师
Nicolas Gregoire 在渗透测试和网络应用安全审计(主要是Web)方面拥有超过15年的经验. 几年前, 他创立了Agarri, 一家为客户寻找安全漏洞并以此为兴趣的公司。 他的研究成果已在世界各地的众多会议上发表,许多供应商都公开感谢他负责任的披露了他们产品中的漏洞.。他偶尔也会通过参与寻找漏洞获取来获取奖金,曾获得过Prezi(两次)和雅虎的最高奖励. 他也是Burp Suite的忠实用户(在过去8年里一直使用该工具)和PortSwigger的官方培训合作伙伴: https://portswigger.net/training/#partners
概况
Burp Suite Pro是审核Web应用程序的领先工具。用户主要是渗透测试人员,QA人员或高级开发人员。Mastering Burp Suite允许用户充分利用该工具,优化时间。工作将更快,更有用,更高效。更重要的是,先进的技术可以检测出复杂或微妙的附加漏洞。当然,目标是经典的Web应用程序,但也包括thin clients,移动应用程序,内部网络或复杂的云部署。 与会者将学习如何衡量他们的攻击质量,这是现实生活中的关键技能。最后,将展示替代战略和技术,从而更广泛地了解可用的功能
培训对象
– Web 应用程序渗透测试人员;
– QA 人员和高级开发人员;
无论您是新手还是专家,该培训将教授对您大有裨益的自动化技能:
– 新手:课前练习有助于您适用核心培训内容;
– 专家:有数年 Burp Suite 使用经验?无需害怕!通过无数可选的挑战来成就您的未来!
该培训基于映射真实场景的 40 多个微挑战;
– 复杂暴力破解、数据提取和自定义格式;
– 瘦客户端、访问控制列表(ACL)和密码学;
– Anti-CSRF 令牌、攻击性断开;
– 更多微挑战!
学生需要准备什么?
可以联网的笔记本电脑;
支持 Burp Suite Pro 的操作系统(Mac、Windows 或 Linux);
较新版本的JVM(最好是 Oracle 版);
能突出显示语法的文本编辑器;
现代浏览器(不得使用 IE6 或 Epiphany)。
课程收获
为期三天的实际操作!
40+ 真实挑战;
幻灯片(约 350 页);
Pro 临时许可证(如需要);
Burp Suite 集成平台提供的一些赠品;
不期望发生什么
Web 渗透测试法:旨在掌握工具箱的使用
议程
请注意:根据日常经验、个人兴趣、Burp Suite 近期新增功能和月相,可能制订下列计划。
第 1 天:
Burp 简介:GUI、工具、审计流程、内联帮助......
代理模块:scope、过滤器、排序......
中继器模块:利用 D-Link DIR-100 后门漏洞,效率提示......
入侵者模块:覆盖每种攻击类型和大多数攻击载荷(payload)类型
第 2 天:
高级代理模块:实时修改、拦截和人工分析......
Sequencer(定序器)模块:令牌分析
Advanced Intruder(高级入侵者)模块:重用配置选项,非默认列......
Auth 模块:水平和垂直权限提升
第 3 天:
宏和会话模块:对 anti-CSRF 令牌和短会话的透明管理
拓展模块:公共扩展类,打造您自己的模块结构、REST API ......
最近新增工具:Collaborator 工具、ClickBandit 工具和 Infiltrator 工具