Szkolenie WEB-200 Web Attacks with Kali Linux - kompleksowy kurs e-learningowy

Kurs WEB-200 Web Attacks with Kali Linux to kompleksowy kurs, który wprowadza w świat testowania bezpieczeństwa aplikacji webowych. Uczestnicy uczą się identyfikować i eksploatować powszechne podatności, takie jak XSS, CSRF, SQL Injection, SSRF, XXE, CORS czy SSTI, wykorzystując narzędzia Kali Linux. Kurs łączy teorię z praktyką poprzez realistyczne laboratoria i ćwiczenia, co pozwala na efektywne przyswajanie wiedzy. 

Szkolenie realizowane jest w formule e-learningu asynchronicznego (self-paced) w języku angielskim.

Uczestnik otrzymuje dostęp do indywidualnie wygenerowanego konta na platformie OffSec na okres 90 dni. W tym czasie może korzystać z materiałów bez narzuconych terminów i godzin nauki, dostosowując tempo oraz harmonogram nauki do własnej dyspozycyjności.

Walidacja: Na koniec usługi Uczestnik wykonuje post-test w celu dokonania oceny wzrostu poziomu wiedzy (test teoretyczny z wynikiem generowanym automatycznie).

Web Attacks with Kali Linux (WEB-200) e-learning

• 90 dni dostępu do kursu i laboratoriów praktycznych na platformie OffSec
• Jedno podejście do egzaminu certyfikacyjnego wliczone w cenę.
• Ponad 50 laboratoriów Proving Grounds Play – symulacje ataków w realistycznym środowisku.
• Bonusowy dostęp do kursu PEN‑103, umożliwiający zdobycie dodatkowego certyfikatu.

Struktura szkolenia:

Kurs WEB-200 składa się z ponad 16 modułów tematycznych, obejmujących łącznie 197 godz. 

Każdy moduł tematyczny zawiera szczegółowe wyjaśnienia, studia przypadków i ćwiczenia praktyczne, mające na celu kładzenie nacisku na odkrywanie, testowanie i wykorzystywanie tych luk w celu doskonalenia umiejętności w zakresie bezpieczeństwa ofensywnego. Po ukończeniu modułów uczestnicy będą mogli sprawdzić swoją wiedzę wykonując laboratoria Challenge. Po przygotowaniu uczestnik może przystąpić do certyfikacji OffSec Web Assessor (OSWA).

Program szkolenia:

Narzędzia dla Web Assessor

Poznanie i praktyczne użycie standardowych narzędzi stosowanych przez pentesterów aplikacji webowych, aby sprawnie identyfikować i walidować podatności.

Cross‑Site Scripting (XSS) — wprowadzenie, wykrywanie, eksploatacja i studium przypadku

Zrozumienie mechanizmów XSS, identyfikacja punktów wstrzyknięć, przeprowadzanie kontrolowanych testów w środowisku laboratoryjnym oraz omówienie sposobów ochrony aplikacji i użytkowników.

Cross‑Site Request Forgery (CSRF)

Poznanie technik wykrywania podatności CSRF, symulacja ataków w bezpiecznych laboratoriach oraz wdrażanie i testowanie skutecznych zabezpieczeń przeciwko CSRF.

Wykorzystywanie błędnych konfiguracji CORS

Identyfikacja niewłaściwych ustawień CORS, ocena ryzyka związanego z niepoprawną polityką dostępu oraz rekomendacje konfiguracji zapobiegających wyciekom danych.

Enumeracja bazy danych

Nauka technik służących do wykrywania struktury i metadanych bazy danych aplikacji oraz metod ograniczania ujawniania wrażliwych informacji.

SQL Injection (SQLi)

Analiza i identyfikacja punktów podatnych na SQLi, bezpieczne testy eksploatacyjne w labie oraz techniki zapobiegania i hardenowania zapytań do bazy danych.

Directory Traversal

Wykrywanie i testowanie podatności na dostęp do chronionych zasobów przez manipulację ścieżkami oraz implementacja zabezpieczeń przed nieautoryzowanym dostępem do systemu plików.

XML External Entities (XXE)

Zrozumienie, jak błędna obsługa XML może prowadzić do wycieków lub wykonania kodu, oraz sposoby zabezpieczenia parserów XML i testowania aplikacji pod kątem XXE.

Server‑Side Template Injection (SSTI)

Identyfikacja luk w mechanizmach renderowania szablonów po stronie serwera, praktyczne testy i metody neutralizacji zagrożeń wynikających z SSTI.

Server‑Side Request Forgery (SSRF)

Poznanie wektorów SSRF, ocena skutków ataków umożliwiających dostęp do wewnętrznych zasobów i wdrożenie ograniczeń/filtrów zapobiegających SSRF.

Command Injection

Identyfikacja punktów wykonywania poleceń systemowych z poziomu aplikacji, kontrolowane testy i strategie zabezpieczania wejść oraz środowiska uruchomieniowego.

Insecure Direct Object Referencing (IDOR)

Wykrywanie problemów z bezpiecznym odwoływaniem się do zasobów (IDOR), ocena wpływu oraz projektowanie mechanizmów autoryzacji i kontroli dostępu zapobiegających nieautoryzowanym operacjom.

Składanie elementów: przegląd oceny aplikacji webowej

Łączenie poznanych technik i narzędzi w pełny proces audytu aplikacji webowej — od rozpoznania przez wykrywanie i weryfikację podatności po rekomendacje naprawcze i raportowanie.

Szkolenie przygotowuje do certyfikacji OSWA (OffSec Web Assessor Exam).

Egzamin OSWA (OffSec Web Assessor Exam)

• • Egzamin praktyczny z bezpieczeństwa aplikacji webowych, potwierdzający zdolność do identyfikowania i eksploatowania podatności w aplikacjach internetowych w realistycznych warunkach.

• 90 dni dostępu do kursu (materiały do pobrania w pdf. oraz materiały video) i laboratoriów praktycznych na platformie OffSec
• Jedno podejście do egzaminu certyfikacyjnego wliczone w cenę.
• Ponad 50 laboratoriów Proving Grounds Play – symulacje ataków w realistycznym środowisku.

Wymagana znajomość języka angielskiego na poziomie B1/B2 (średnio-zaawansowany)

Przed przystąpieniem do kursu zalecamy posiadanie podstawowych umiejętności związanych z systemem Linux, sieciami i tworzeniem skryptów, które będą bardzo pomocne w trakcie tego kursu.

Realizacja za pomocą platformy e-learningowej OffSec https://portal.offsec.com

Wymagania sprzętowe:

- komputer z dostępem do internetu o minimalnej przepustowości 20Mb/s.  

- wbudowane lub peryferyjne urządzenia do obsługi audio - słuchawki/głośniki oraz mikrofon.

- zainstalowana przeglądarka internetowa - Microsoft Edge/ Internet Explorer 10+ / Google Chrome 39+ (sugerowana) / Safari 7+