22个黑客速成课视频及资源

Knowledge Node, 技术, 技术防身/自我保护方法 1 Minute
  • 从初学者到中级的视频学习资料

HackerOne 是一个非常受欢迎的bug赏金平台,它们提供了一些该领域新手感兴趣的东西。

本文收集它们提供的一系列视频和资源,旨在培养从初学者到中级黑客的基本技能。您可以在线观看。

以下是一个视频列表。

1、介绍

包括:

  • 所需工具
  • 像破坏者一样思考
  • 攻击者 — 防御者失衡
  • 轻量级威胁评估和优先级排序
  • 如何编写好的bug报告
  • 反射的跨站点脚本(XSS)攻击

2、The Web In Depth

包括:

  • HTTP基础知识
  • Cookie安全
  • HTML解析
  • MIME嗅探
  • Encoding嗅探
  • 同源政策
  • CSRF(跨站请求伪造)

3、XSS & Authorization

包括:

  • XSS(跨站脚本攻击)
  • XSS的类型
  • 发现、开发、缓解
  • 授权绕过和强制浏览

4、SQL注入

包括:

  • SQLi(SQL注入)
  • 它是如何运作的
  • 基本开发
  • 缓解方式
  • 盲SQL
  • 盲SQL类型
  • Exploiting blind
  • 目录遍历
  • 利用
  • 缓解
  • 命令注入
  • Real-world scenario

5、会话固定攻击

包括:

  • 这是什么
  • 如何利用
  • 如何缓解

6、点击劫持

包括:

  • 这是什么
  • 如何起效
  • 如何防御

7、文件包含bugs

包括:

  • LFI(本地文件包含)
  • RFI(远程文件包含)
  • 如何发现
  • 如何利用
  • 如何缓解

8、文件上传 bugs

包括:

  • 工作原理
  • 基于文件名的攻击
  • MIME类型攻击
  • 隐藏PNG文件中的数据
  • 缓解

9、空终止错误

包括:

  • 这是什么
  • 为什么它们与网络安全相关
  • 如何测试空终止错误
  • 如何利用这些bugs

10、未经检查的重定向

包括:

  • 发现
  • 利用
  • 缓解

11、密码存储

包括:

  • 使用 Bcrypt(或 Scrypt)
  • 密码安全的目标
  • 永远不要使用 bare hash(例如MD5,SHA1)
  • 如果您不能使用它们,请使用PBKDF2然后放慢速度

12、加密速成课

包括:

  • XOR及其对密码学的重要性
  • 一次性密钥
  • 密码的类型
  • 分组密码模式
  • ECB (Electronic Codebook)
  • CBC (Cipher Block Chaining)
  • Hashes
  • MAC(消息认证码)

13、加密攻击

包括:

  • 流密码密钥重用
  • ECB 块重新排序
  • ECB 解密
  • 填充Oracle攻击
  • 哈希长度扩展攻击

13、Wrap-up

包括:

  • ECB模式
  • 一般建议
  • Cryptopals 挑战将带您进入一个新的水平

14、威胁建模

包括:

  • “重量级”威胁建模
  • 为什么它不适合bug赏金猎人
  • 轻量级威胁建模
  • 为什么它简单有效

15、如何写好报告

包括:

  • 写好报告的重要性
  • 好报告的关键特征
  • 确定漏洞的影响

16、安全架构评审

包括:

  • 基本结构
  • 几个关键部分

17、服务器端请求伪造

包括:

  • 文件访问
  • 绕过防火墙
  • 端口扫描
  • 如何缓解

18、XML外部实体攻击

包括:

  • 工作原理
  • 如何攻击
  • 对现实世界的影响

19、移动 Hacking 速成课

包括:

  • 为什么学习破解移动应用程序是值得的
  • 流行的混合应用程序框架怪癖
  • 如何选择目标
  • 标准的 web bugs
  • 凭证存储bugs
  • 不安全的连接
  • 不安全的数据存储
  • 加密不足
  • ……

20、Android快速入门

包括:

  • Android应用程序的结构
  • 各种工具
  • 设置代理
  • Rooting
  • 反编译
  • 测试技巧

21、iOS快速入门

包括:

  • iOS应用程序的结构
  • 测试iOS与Android的差异
  • 各种工具
  • 设置代理
  • Jailbreaking
  • 各种测试技巧

22、本地代码速成课,及各种资源

Assembly

Tools

Bugs

Protections

Bypassing Protections

JavaScript Engine Exploitation Resources

Reports

广告
Published

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据