Что внутри модуля
Серверная часть — это сердце любого веб-приложения. Именно здесь хранятся данные, логика и самые ценные ресурсы. Но стоит допустить ошибку в обработке пользовательского ввода — и сервер превращается в точку входа для атакующего.
В этом модуле ты шаг за шагом освоишь поиск и эксплуатацию уязвимостей, связанных с серверной стороной приложений. Мы не ограничимся теорией — почти каждый урок снабжён практическим стендом, чтобы ты сам смог воспроизвести атаку и увидеть последствия.
Ты изучишь:
🔎 SSRF (Server-Side Request Forgery) — как заставить сервер обращаться к внутренним сервисам, обходить фильтры и вытягивать данные из закрытых сетей.
⚙️ SSTI (Server-Side Template Injection) — что бывает, когда шаблонизатор «слишком доверяет» данным пользователя, и как это превращается в выполнение кода на сервере.
📂 SSI (Server-Side Includes) — казалось бы, устаревшая технология, но до сих пор встречающаяся в реальных приложениях. Ты увидишь, как простая инъекция может дать полный доступ к командам ОС.
📑 XSLT Injection — менее известная, но крайне опасная уязвимость, связанная с трансформацией XML-документов. Научишься использовать её для извлечения и модификации данных.
🔒 И конечно, разберём методы защиты: фильтрацию, изоляцию окружений, безопасные настройки шаблонных движков и правильную обработку пользовательского ввода.
🎯 Кому будет полезен модуль
-
Пентестерам и багбаунти-хантерам — для освоения реальных техник эксплуатации серверных уязвимостей.
-
Разработчикам и тимлидам — чтобы понимать, какие ошибки в коде приводят к катастрофам.
-
Специалистам по ИБ — для анализа и предотвращения атак на уровне серверной логики.
🔥 В модуле — 9 практических стендов из 18 уроков.
Мы сделали акцент на практике там, где это критично: SSRF, SSTI, SSI и XSLT ты прорабатываешь своими руками.
Теория же даётся там, где важно сначала понять механику уязвимости, её контекст и способы защиты.
Такой баланс делает модуль удобным: ты получаешь практику на всех ключевых техниках, но при этом не теряешь целостную картину.