# Отчет по решению практических задач ## Модуль: Основы анализа безопасности веб-приложений (продвинутый уровень) ### Lesson 1) Знакомство с базовыми технологиями веба: 1. https://www.root-me.org/en/Challenges/Web-Server/HTTP-User-agent `rr$Li9%L34qd1AAe27` 2. https://www.root-me.org/en/Challenges/Web-Server/HTTP-Headers `HeadersMayBeUseful` 3. https://www.root-me.org/en/Challenges/Web-Server/HTTP-Improper-redirect `ExecutionAfterRedirectIsBad` 4. https://www.root-me.org/en/Challenges/Web-Server/HTTP-verb-tampering `a23e$dme96d3saez$$prap` 5. https://www.root-me.org/en/Challenges/Web-Server/Insecure-Code-Management `s3cureP@ssw0rd` 6. http://psorokin.ru:8000 (Найти директорию, а в ней файл с флагом) `flag{d1rsearch3d}` ### Lesson 2) Устройство современных веб-приложений и сбор информации HTB. Bart https://app.hackthebox.com/users/activity/906355 > For all other Labs summary report >  ### Lesson 3) Уязвимости OS Command injection HTB. Devel https://app.hackthebox.com/users/activity/906355  ### Lesson 4-5) Уязвимость SQL Injection  Доп. - [ ] HTB. AI - [x] HTB. Jarvis - [x] HTB. Appointment - [ ] HTB. Bankrobber - [ ] HTB. Zetta - [x] HTB. Soccer ### Lesson 6) Аутентификация и менеджмент сессий Онлайн брутфорс  ### Lesson 7) Уязвимость Path traversal. Уязвимость File Upload. Атака Local File Read  ### Lesson 8) Broken Access Control. SSTI. Race Condition   ### Lesson 9) Небезопасное сравнение и приведение типов в PHP. Prototype Pollution.   ### Lesson 10) Небезопасная десериализация  ### Lesson 11) Уязвимость Server Side Request Forgery.  ### Lesson 12) Уязвимость XML External Entity.  ### Lesson 13) Same Origin Policy. Cross-Site Request Forgery.  ### Lesson 14) Cross-origin resource sharing. Cross-Site Scripting.   ### Lesson 15) Content Security Policy. Security Headers.