3天技术培训课程 – 5:
2018-10-01 18:20:39
Introduction


掌握Burp Suite Pro:100%实际动手操作


NICOLAS.png

掌握Burp Suite Pro:100%实际动手操作


训讲师

Nicolas Gregoire 在渗透测试和网络应用安全审计(主要是Web)方面拥有超过15年的经验. 几年前, 他创立了Agarri, 一家为客户寻找安全漏洞并以此为兴趣的公司。 他的研究成果已在世界各地的众多会议上发表,许多供应商都公开感谢他负责任的披露了他们产品中的漏洞.。他偶尔也会通过参与寻找漏洞获取来获取奖金,曾获得过Prezi(两次)和雅虎的最高奖励. 他也是Burp Suite的忠实用户(在过去8年里一直使用该工具)和PortSwigger的官方培训合作伙伴: https://portswigger.net/training/#partners


概况

Burp Suite Pro是审核Web应用程序的领先工具。用户主要是渗透测试人员,QA人员或高级开发人员。Mastering Burp Suite允许用户充分利用该工具,优化时间。工作将更快,更有用,更高效。更重要的是,先进的技术可以检测出复杂或微妙的附加漏洞。当然,目标是经典的Web应用程序,但也包括thin clients,移动应用程序,内部网络或复杂的云部署。 与会者将学习如何衡量他们的攻击质量,这是现实生活中的关键技能。最后,将展示替代战略和技术,从而更广泛地了解可用的功能


训对象

– Web 应用程序渗透测试人员;
– QA 人
员和高级开发人员;

论您是新手还是专家,该培训将教授对您大有裨益的自动化技能:

– 新手:课前练习有助于您适用核心培训内容;
专家:有数年 Burp Suite 使用经验?无需害怕!通过无数可选的挑战来成就您的未来!

该培训基于映射真实场景的 40 多个微挑战;

– 复杂暴力破解、数据提取和自定义格式;
– 瘦客
户端、访问控制列表(ACL)和密码学;
– Anti-CSRF 令牌、攻
击性断开;
– 更多微挑
战!


学生需要准备什么?

可以联网的笔记本电脑;
支持 Burp Suite Pro 的操作系统(MacWindows Linux);
较新版本的JVM(最好是 Oracle 版);
能突出显示语法的文本编辑器;
现代浏览器(不得使用 IE6 Epiphany)。


课程收获

为期三天的实际操作!
40+ 真
实挑战;
幻灯片(
350 页);
Pro
临时许可证(如需要);
Burp Suite 集成平台提供的一些
赠品;


不期望发生什么

Web 渗透测试法:旨在掌握工具箱的使用 


议程

请注意:根据日常经验、个人兴趣、Burp Suite 近期新增功能和月相,可能制订下列计划。

1 天:

Burp 简介:GUI、工具、审计流程、内联帮助......
代理模块:scope、过滤器、排序......
中继器模块:利用 D-Link DIR-100 后门漏洞,效率提示...... 
入侵者模块:覆盖每种攻击类型和大多数攻击载荷(payload)类型 

2 天:

级代理模块:实时修改、拦截和人工分析......
Sequencer(定序器)模
块:令牌分析
Advanced Intruder(高
级入侵者)模块:重用配置选项,非默认列......
Auth 模
块:水平和垂直权限提升

3 天:

宏和会话模块:对 anti-CSRF 令牌和短会话的透明管理
拓展模块:公共扩展类,打造您自己的模块结构、REST API ......
最近新增工具:Collaborator 工具、ClickBandit 工具和 Infiltrator 工具