01
Модуль 1: Введение в аутентификацию PHP
session_start, password_hash/verify, legacy md5/sha1, обзор угроз.
- 1. Аутентификация в PHP: сессии, хеширование и типичные ошибкиPro
- 2. Обзор методов защитыPro
- 3. Тест: Введение в аутентификациюPro
Путь php 5 модулей
PHP Authentication: Brute Force, слабые пароли и Timing-атаки
Курс по безопасности аутентификации в PHP. Изучите session_start, password_hash/verify, атаки брутфорсом, уязвимости слабых паролей через md5/sha1, timing-атаки через == и защиту через rate limiting, bcrypt и hash_equals().
02
Модуль 2: Brute Force
Атака перебором паролей при отсутствии rate limiting, защита через token bucket.
- 1. Brute Force: перебор паролейPro
- 2. Защита: Token Bucket Rate LimiterPro
- 3. Тест: Brute ForcePro
- 4. Практика: Brute ForceeasyPro
- 5. Обход авторизации: Basic Auth, дефолтные учётки и фиксация сессииPro
03
Модуль 3: Слабые пароли
Использование md5/sha1, отсутствие политики сложности, защита через password_hash(PASSWORD_BCRYPT).
- 1. Слабые пароли и устаревшее хешированиеPro
- 2. Защита: password_hash(PASSWORD_BCRYPT) и политика сложностиPro
- 3. Тест: Слабые паролиPro
- 4. Практика: Слабые паролиeasyPro
04
Модуль 4: Timing Attack
Timing side-channel через == vs ===, побайтовое сравнение, защита через hash_equals() и password_verify().
- 1. Timing Attack: побочный канал через время ответаPro
- 2. Защита: hash_equals() и password_verify()Pro
- 3. Тест: Timing AttackPro
- 4. Практика: Timing AttackmediumPro
05
Модуль 5: Итоговый обзор
Чеклист безопасности аутентификации, session security, реальные инциденты.
- 1. Итоговый обзор: безопасность аутентификации в PHPPro
- 2. Defense-in-Depth: многослойная защита аутентификацииPro
- 3. Автоматизация обнаружения: SAST и DASTPro
- 4. Финальный тест: Auth SecurityPro