Learn Penetration Testing

通過此應用程序了解滲透測試和道德黑客攻擊以及網絡安全。

以下是課程內容的更詳細分類：

1.信息收集 - 在本節中，您將學習如何收集有關目標網站的信息，您將學習如何發現所使用的DNS服務器，服務，子域，未發布的目錄，敏感文件，用戶電子郵件，網站在同一台服務器甚至是網絡託管服務提供商。此信息至關重要，因為它增加了成功訪問目標網站的機會。

2.發現，利用和緩解 - 在本節中，您將學習如何發現，利用和緩解大量漏洞，本節分為若干小節，每個小節都涵蓋一個特定漏洞，首先您將學習什麼是該漏洞，它允許我們做什麼，然後您將學習如何利用此漏洞並繞過安全措施，最後我們將分析導致此漏洞的代碼並查看如何修復它，以下漏洞包含在課程：

文件上傳：此漏洞允許攻擊者在目標Web服務器上上傳可執行文件，正確利用這些漏洞可讓您完全控制目標網站。

代碼執行 - 此漏洞允許用戶在目標Web服務器上運行系統代碼，這可用於執行惡意代碼並獲得反向shell訪問，從而使攻擊者可以完全控制目標Web服務器。

本地文件包含 - 此漏洞可用於讀取目標服務器上的任何文件，因此可以利用它來讀取敏感文件，但我們不會停止此操作，您將學習兩種方法來升級此漏洞並獲取反向shell連接，使您可以完全控制目標Web服務器。

遠程文件包含 - 此漏洞可以在目標Web服務器上加載遠程文件，正確利用此漏洞可以完全控制目標Web服務器。

SQL注入 - 這是最危險的漏洞之一，它可以在任何地方找到，可以被利用來完成上述漏洞允許我們做的所有事情以及更多，所以它允許你以管理員身份登錄而不知道密碼，訪問數據庫並獲取存儲在那裡的所有數據，如用戶名，密碼，信用卡等，讀/寫文件，甚至獲得反向shell訪問，使您可以完全控制目標服務器！

跨站點腳本（XSS） - 此漏洞可用於在訪問易受攻擊的頁面的用戶上運行JavaScript代碼，我們不會停止，您將學習如何從用戶竊取憑據（例如facebook或youtube密碼）和甚至可以完全訪問他們的計算機。您將學習所有三種類型（反射，存儲和基於DOM）。

不安全的會話管理 - 在本節中，您將學習如何在不知道密碼的情況下利用Web應用程序中的不安全會話管理並登錄其他用戶帳戶，您還將學習如何發現和利用CSRF（跨站點請求偽造）漏洞。

暴力和字典攻擊 - 在本節中，您將了解這些攻擊是什麼，它們之間的區別以及如何啟動它們，在成功的情況下，您將能夠猜出目標登錄頁面的密碼。

3.後利用 - 在本節中，您將了解如何利用從利用上述漏洞獲得的訪問權限，您將學習如何將反向shell訪問轉換為Weevely訪問，反之亦然，您還將學習如何執行目標服務器上的系統命令，在目錄之間導航，訪問同一服務器上的其他網站，上載/下載文件，訪問數據庫甚至將整個數據庫下載到本地計算機。您還將學習如何繞過安全性，即使您沒有足夠的權限也可以完成所有這些操作