Descrizione
In questo video comincio un corso di Web Exploitation che utilizza la DVWA come base per spiegare le principali vulnerabilità nel contesto del web.
Per chi non la conoscesse, la DVWA è una applicazione web scritta in php con l’intento di essere vulnerabile e di far imparare, a sviluppatori e penetration testers, alcune tra le più importanti vulnerabilità nel mondo del web. Da notare che in passato avevo già fatto dei video relativi a DVWA, ma in questa serie riprendo da zero il materiale. I video passati rimangono comunque validi.
L’obiettivo del corso è duplice, offensive e defensive. Come prima cosa, il corso vuole aiutare tutte le persone che stanno studiando web exploitation per diventare penetration testers. Come seconda cosa, il corso vuole aiutare anche i web developers stessi a capire meglio le principali vulnerabilità nel contesto del web e quali sono le strategie standard per difendersi da queste vulnerabilità.
Il corso è composto da 15 video, di cui questo è il primo. Ciascun video analizza una particolare vulnerabilità e dura dai 20 ai 40 minuti, per un totale complessivo di oltre 7.5 ore di contenuti. I moduli sono i seguenti: Brute Force, Command Injection, CSRF, File Inclusion, File Upload, Insecure CAPTCHAs, SQL Injection, SQL Injection Blind, Weak Session IDs, XSS Stored, XSS Reflected, XSS DOM, CSP Bypass, Javascript.
I video usciranno ogni lunedì e giovedì, nell’ordine descritto in precedenza, per dare il giusto tempo tra un episodio e l’altro.
Timestamps
00:00 introduzione
02:20 github repository
05:45 installazione con docker
08:55 configurazioni extra (allow_url_include e reCAPTCHA keys)
13:10 conclusione
Riferimenti / Materiale