Web Hacking - Black Belt Edition 2019

ウェブハッキング　　－　黒帯　２０１９版 トレーナー：notsosecure トラック：AppSec,ペンテスト トレーニング期間：二日間 This class teaches audience a wealth of hacking techniques to compromise modern day web applications, APIs and associated end-points. This class focus on specific areas of appsec and on advanced vulnerability identification and exploitation techniques. The class allows attendees to learn and practice some neat, new and ridiculous hacks which affected real life products and have found a mention in real bug-bounty programs. The vulnerabilities selected for the class either typically go undetected by modern scanners or the exploitation techniques are not so well known. Attendees will also benefit from a state-of-art Hacklab and we will be providing FREE 30 days lab access after the class to allow attendees more practice time. Some of the highlight of the class includes: 本コースでは、最新のウェブアプリケーション、API、関連エンドポイントに対して行える様々なハッキング手法を紹介します。本コースでは、特定のアプリケーションセキュリティに注目し、高度な脆弱性検知とエキスプロイトについて触れます。受講者は、実際の製品やバグバウンティで報告された様々な実践的なハッキング手法を学び練習する機会を与えられます。教材として選ばれた脆弱性は、通常のスキャナーでは見つけにくいもの、エキスプロイト方法がよく知られていないものが含まれています。また受講者は３０日間無料で最新のHackLabへのアクセスが与えられ、本コース後も練習が可能になります。本コースのハイライトには以下のものが含まれます： Modern JWT, SAML, oauth bugs JWT,SAML、oauth関連のバグ Core business logic issues ビジネスロジックにおける問題点 Practical cryptographic flaws. 実践的暗号化における脆弱性 RCE via Serialisation, Object, OGNL and template injection. シリアリゼーションによるRCE,オブジェクト、OGNLとテンプレートインジェクション Exploitation over DNS channels DNSチャンネルのエキスプロイト Advanced SSRF, HPP, XXE and SQLi topics. 高度なSSRF,HPP,XXEとSQLiに関連するトピック Serverless exploits サーバレスエキスプロイト Web Caching issues ウェブキャッシングの問題点 Attack chaining and real life examples. チェイニングへの攻撃と実践的な例