感谢您发送咨询!我们的团队成员将很快与您联系。
感谢您发送预订!我们的团队成员将很快与您联系。
课程大纲
高级侦察与枚举
- 使用Subfinder、Amass和Shodan自动化子域名枚举。
- 大规模内容发现和目录暴力破解。
- 技术指纹识别和大型攻击面映射。
使用Nuclei和自定义脚本进行自动化
- 构建和自定义Nuclei模板。
- 在Bash/Python工作流程中链接工具。
- 使用自动化发现低垂果实和配置错误的资产。
绕过过滤器和WAF
- 编码技巧和规避技术。
- WAF指纹识别和绕过策略。
- 高级有效载荷构建和混淆。
寻找业务逻辑漏洞
- 识别非常规攻击向量。
- 参数篡改、流程破坏和权限提升。
- 分析后端逻辑中的错误假设。
利用身份验证和访问控制
- JWT篡改和令牌重放攻击。
- IDOR(不安全的直接对象引用)自动化。
- SSRF、开放重定向和OAuth滥用。
大规模漏洞赏金
- 管理跨项目的数百个目标。
- 报告工作流程和自动化(模板、PoC托管)。
- 优化生产力,避免倦怠。
负责任披露与报告最佳实践
- 撰写清晰、可复现的漏洞报告。
- 与平台(HackerOne、Bugcrowd、私有项目)协调。
- 处理披露政策和法律边界。
总结与下一步
要求
- 熟悉OWASP十大漏洞。
- 具备Burp Suite的使用经验和基本的漏洞赏金实践。
- 了解Web协议、HTTP和脚本编写(如Bash或Python)。
受众
- 寻求高级方法的经验丰富的漏洞赏金猎人。
- 安全研究员和渗透测试人员。
- 红队成员和安全工程师。
21 小时
客户评论 (4)
培训师知识渊博,花时间对网路安全问题有很好的见解。这些例子中的很多都可以为我们的学习者使用或修改,并创建一些非常吸引人的课程活动。
Jenna - Merthyr College
课程 - Fundamentals of Corporate Cyber Warfare
机器翻译
渗透测试员的技能是什么证明老师
Oleksii Adamovych - EY GLOBAL SERVICES (POLAND) SP Z O O
课程 - Ethical Hacker
机器翻译
讲师拥有非常广泛的知识,并致力于他的工作。他能够让听众对他的课程感兴趣。培训范围完全符合我的期望。
Karolina Pfajfer - EY GLOBAL SERVICES (POLAND) SP Z O O
课程 - MasterClass Certified Ethical Hacker Program
机器翻译
All is excellent
