Школа Курс «SQL-injection Master»

[Сергей Попов]

Ethical Hacking Tutorial Group The Codeby представляет
Курс «SQL-Injection Master» ©
SQLIM
Подробное описание курса

​

Защита интеллектуальной собственности — Right NN
Курс является собственностью ООО «Кодебай»
Свидетельство о депонировании № 021-012109

В данном курсе рассматриваются начальные навыки работы с SQL-запросами к базам данных. Также вы научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

Курс снабжён методичками, исходными кодами и видеороликами. Будет много практических заданий. Уроки выдаются 2 раза в неделю, в процессе обучения будет несколько чекпойнтов - чтобы получить дальнейший доступ, необходимо набрать минимальный балл в решении практических заданий.

Обучение длится 3 месяца, на последнюю неделю приходится экзамен. На экзамене нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

Записаться: Курс «SQL-injection Master»

Содержание курса:

1. Введение - структура сайтов, понятия клиент и сервер - взаимодействие frontend и backend
2. Работа сайта с базой данных, структура БД
3. Язык запросов SQL(Structured Query Language) - пользователи БД и привилегии
4. Операторы SQL, простые запросы
5. Операторы SQL, сложные запросы
6. Что такое SQL-инъекция? Причины возникновения инъекции, и внедрение произвольных SQL-запросов
7. Обход авторизации
8. UNION BASED injection
9. XPATH Error Based injection - Extractvalue, UpdateXML
10. ERROR BASED SubQuery injection
11. BLIND BASED injection
12. TIME BLIND BASED injection
13. DIOS(Dump In One Shot)
14. Routed injection
15. SiXSS (Sql Injection Сross Site Scripting)
16. Инъекции в HTTP-заголовках
17. WAF bypass
18. HTTP Parameter Pollution и фрагментированные SQL-инъекции
19. Работа с файлами, заливка шелла через БД
20. Автоматизация поиска sql-инъекций часть 1
21. Автоматизация поиска sql-инъекций часть 2
22. Как защититься от sql-инъекций
23. Экзамен

По завершению и усвоению материала вы будете уметь:

✔ Создавать, удалять, редактировать базы данных;
✔ Делать дамп базы данных и восстанавливать базу из дампа;
✔ Работать с основными операторами SQL;
✔ Создавать пользователей БД, управлять привилегиями;
✔ Работать с файловой системой из БД;
✔ Раскручивать различные SQL-инъекции;
✔ Через найденную SQL-инъекцию эксплуатировать другие виды уязвимостей;
✔ Обходить различные виды защит от SQL-инъекций;
✔ Писать небольшие учебные уязвимые приложения для тренировок;
✔ Научитесь исправлять уязвимый к инъекциям код на неуязвимый.

Внимание! Доступ к урокам предоставляется последовательно, по мере их прохождения. Есть тестовые задания и минимальный балл для получения очередного урока.

​

Актуальная цена и условия на странице Курс «SQL-injection Master»

Copyright © ООО «Кодебай» 2020 Все права защищены​

Остались вопросы ? Позвоните нам с 8 до 20 мск по
бесплатному телефону
8 800 444 1750

Техническая поддержка
e-mail: school@codeby.email​

 

[Wenzel]

Скидок по рангам, как к другим курсам не будет?

 

[Сергей Попов]

Скидок по рангам, как к другим курсам не будет?

Спасибо за вопрос. На днях добавим информацию в описание курса.

 

[Сергей Попов]

Скидок по рангам, как к другим курсам не будет?

Внесены дополнения в описание курса, а именно:

Скидки:

1. One Level ..... 5%
2. Green Team ...... 10%;
3. Grey Team ..... 15%;
4. Red Team ...... 20%;
5. Вы уже покупали у нас курсы ........ 25%;
6. Gold & Platinum Team .... Free.

 

[henry057]

Внесены дополнения в описание курса, а именно:

Была довольно интересная скидка, для учёников ИБ курс имел 50% скидки, почему этот пункт исключили?

 

[Сергей Попов]

Была довольно интересная скидка, для учёников ИБ курс имел 50% скидки, почему этот пункт исключили?

Приветствую. Это был пробный эксперимент, который мы закрыли. Скидки предоставляем ребятам, которые живут форумом и принимают активное участие в его жизни. На наш взгляд, сейчас достаточно скидок и конкурсов, чтобы сократить стоимость курсов. Вот последний из активных конкурсов: Вводим бальную систему в группе The Codeby.. | The Codeby | VK

 

[dizelekss]

как будет проходить курс? по видео урокам? или как?

 

[Сергей Попов]

Ученику будут последовательно выдаваться текстовые методички, видео уроки в записи, доступ к лаборатории для практики. Связь с инструктором через ЛС форума, через телеграм. Общение учеников на форуме курса и в чате телеграм. Все как в WAPT ...

 

[kaysar123]

Сколько продлится курс по времени?

 

[Сергей Попов]

Обучение длится 3 месяца

Сколько продлится курс по времени?

 

[SashaNNN]

Здравствуйте,
Какие должны быть начальные знания? Обязательно ли перед этим WAPT проходить? Или какая последовательно предпочтительнее? WAPT - SQLi или наоборот? Или вообще не важно?

 

[Rook]

Здравствуйте,
Какие должны быть начальные знания? Обязательно ли перед этим WAPT проходить? Или какая последовательно предпочтительнее? WAPT - SQLi или наоборот? Или вообще не важно?

WAPT как я понял нужно уже с хорошими знаниями проходить. А вот какраз Питон для EH и SQLi Master до WAPT.

 

[explorer]

Здравствуйте,
Какие должны быть начальные знания? Обязательно ли перед этим WAPT проходить? Или какая последовательно предпочтительнее? WAPT - SQLi или наоборот? Или вообще не важно?

Здравствуйте!

Данный курс идёт с нулевого уровня, то есть начальные знания по SQL не обязательны. Для прохождения курса требуется компьютер с установленным Linux. Соответственно нужны минимальные навыки работы с линуксом. Если у вас не установлен Linux, то лучше всего поставить любой дистрибутив на базе Debian, так как все команды в методичках написаны под Debian (Linux Mint, Ubuntu, Kali Linux). По установке Linux поможет эта статья.

Первые уроки более чем простые, постепенно сложность увеличивается. Уже со второго занятия вы получаете доступ к лаборатории с тестовыми заданиями. Первые 3 недели вы учитесь работать с базами данных - создавать, редактировать таблицы/столбцы/записи, и работать с операторами SQL. Далее до конца курса идёт работа с уязвимостями.

Курс WAPT требует уже навыков выше начинающего, поэтому SQLi нужно проходить раньше (в WAPT большое количество тасков по SQLi). В курсе 'SQL-injection Master' будут рассмотрены уязвимости SQLi в более широком спектре и очень подробно. Кроме самого SQL, в курсе также идёт постоянное взаимодействие с кодом PHP. Даже не зная основ PHP, вы научитесь понимать как работают приложения, почему возникают уязвимости, и как это можно исправить.

 

[f0g]

Когда-то давно, я начинал курс Python'у и весьма успешно проходил его взаимодействуя с товарищем explorer'ом. Потом по личным обстоятельствам не смог продолжить.

После чего, я начал WAPT и точно так же бросил его, только уже запнувшись об SQL.

Вероятнее всего - этот курс я всё-таки должен взять и закончить, не смотря на "всякое-разное".

 

[SashaNNN]

Когда-то давно, я начинал курс Python'у и весьма успешно проходил его взаимодействуя с товарищем explorer'ом. Потом по личным обстоятельствам не смог продолжить.

После чего, я начал WAPT и точно так же бросил его, только уже запнувшись об SQL.

Вероятнее всего - этот курс я всё-таки должен взять и закончить, не смотря на "всякое-разное".

True story не с этими курсами правда, но так бывает, сейчас прохожу питон для пентестера с f22. Если sqli и wapt такие же, однозначно пойду. Спасибо за пояснение, значит сначала sqli, как раз после питона стартует.

 

[noted]

Вопрос с "немного другой колокольни" (возможно найдутся еще такие).
Для тех "лиц" , что считают себя осведемленными в области sqli, кто умеет использовать cheat sheet и не боится поработать ручками вычисляя waf - будет ли чтот интересное, сложное, новое (возможно что мы обычно пропускаем)?
Возможно на примере, если пройден курс wapt , и усвоены его sqli 75-100 баллов, получу ли я на этом курсе чтоб новое? Или все уткнется в "обойти такой то waf"?

 

[Сергей Попов]

Это сильно углубленный курс по инъекциям. WAPT рядом не стоял Вероятно @explorer больше расскажет.

 

[explorer]

Вопрос с "немного другой колокольни" (возможно найдутся еще такие).
Для тех "лиц" , что считают себя осведемленными в области sqli, кто умеет использовать cheat sheet и не боится поработать ручками вычисляя waf - будет ли чтот интересное, сложное, новое (возможно что мы обычно пропускаем)?
Возможно на примере, если пройден курс wapt , и усвоены его sqli 75-100 баллов, получу ли я на этом курсе чтоб новое? Или все уткнется в "обойти такой то waf"?

Если сравнивать, то что есть в этом курсе, чего нет в WAPT:

* Работа с SQL-запросами (не инъекции), от простых до сложных. От самостоятельного создания и редактирования баз до бэкапа и восстановления.
* Исходные кода PHP для самостоятельной практики на localhost. Разбор что в коде за что отвечает, почему возникает инъекция, и как её предотвратить.
* Разбор автоматизации. будет в двух частях по разным инструментам.
* Программа курса шире чем в WAPT раздел по sql, так как это узкоспециализированный курс. В кратком содержании курса уже видны темы, которых не было в WAPT.
* Лаборатория курса большая - это 70+ тасков разной сложности.
* Будут некоторые хитрости, о которых очень мало где написано.

Так что решать вам. Из-за одной только лабы стоит пройти. Ни один таск по инъекциям не выглядит похожим на другой. Графическое оформление и разные хитрости, делают прохождение очень интересным )

 

[Павел С]

Здравствуйте. Подскажите пожалуйста какие нужны навыки для курса? Нужен linux или windows подойдёт? Если я полный ноль в Linux,что мне к этому времени нужно выучить,чтобы вопросов не возникло не по теме курса? Какой linux посоветуете, при условии что я буду проходить курс python для пентестера и wapt в дальнейшем, чтобы не перенастраивать систему в будущем. Видел у вас видео на сайте,ставят на виртуальную машину kali,если я тоже могу поставить на виртуальную машину ОС,какие системные характеристики подойдут для неё? А может linux совсем не придется устанавливать,и подойдёт мой windows 10 ? Может нужно какие-то программы установить,чтобы не тратить в течении обучения на это время? Моя голова совсем чиста,и никакой базы и понимания нет что такое программирование, и т.д., может есть актуальная информация для начала ознакомления этого курса? На Ютубе боюсь смотреть,вдруг там запутают,и в голове будет укладываться неправильная информация. Что нужно для комфортного обучения? Спасибо заранее за ответы.

 

[explorer]

Здравствуйте. Подскажите пожалуйста какие нужны навыки для курса? Нужен linux или windows подойдёт? Если я полный ноль в Linux,что мне к этому времени нужно выучить,чтобы вопросов не возникло не по теме курса? Какой linux посоветуете, при условии что я буду проходить курс python для пентестера и wapt в дальнейшем, чтобы не перенастраивать систему в будущем. Видел у вас видео на сайте,ставят на виртуальную машину kali,если я тоже могу поставить на виртуальную машину ОС,какие системные характеристики подойдут для неё? А может linux совсем не придется устанавливать,и подойдёт мой windows 10 ? Может нужно какие-то программы установить,чтобы не тратить в течении обучения на это время? Моя голова совсем чиста,и никакой базы и понимания нет что такое программирование, и т.д., может есть актуальная информация для начала ознакомления этого курса? На Ютубе боюсь смотреть,вдруг там запутают,и в голове будет укладываться неправильная информация. Что нужно для комфортного обучения? Спасибо заранее за ответы.

Здравствуйте!

В ответе выше уже всё написано по линуксу, и есть ссылка как разобраться с Linux Mint - для начинающих это один из оптимальных вариантов. Что касается инструментов, то для прохождения курса их будет совсем немного, так как 99% работы вы будете делать прямо в браузере. А раз так, то можно с любой операционки решать большинства тасков, если бы не одно НО.... будут и несколько задач, где понадобится именно Linux, и кроме этого, с самого начала курса все команды для отработки на локальном компьютере идут на линукс. В каждом разделе курса есть информация как отработать навык на локалхосте.

В общем без Linux вы должны быть уже продвинутым пользователем, и уметь ставить LAMP или что-то из этого. Поэтому ставьте Linux Mint, и получите до старта курса минимальный навык по линуксу - достаточно будет чтобы вы знали основные команды в консоли (создание и удаление пользователей, установка и удаление программ и т.п.).

Только в самом конце курса будет рассмотрена автоматизация, и там мы будем пользоваться некоторым софтом. Про установку софта тоже будет всё рассказано. Пожалуй единственную программу лучше поставить сразу до старта - Burp Suite (потому что про её установку в курсе не будет информации). Это настольная программа любого пентестера, хотя для прохождения основной части курса её наличие не обязательно. Но в конце курса (в разделе автоматизации) мы будем ставить для неё дополнения.

Итого на старте курса нужно иметь Linux (и минимальный навык пользователя), программу Burp Suite. Всё остальное в процессе обучения будет рассказано. И лучше всего уже иметь представление по HTML+CSS (будет в вводном уроке курса, но минимально), чтобы вы открыв исходный код любой страницы сайта, вы уже понимали хоть примерно из чего страница состоит. Работа с исходниками это залог успеха в web.