Обучение 4 маршрута 59 путей

Маршруты обучения

Путей много, и пройти их подряд бессмысленно. Мы собрали четыре маршрута — по Go, Python, PHP и Node.js, — где каждый следующий этап опирается на предыдущий. Двигайтесь сверху вниз и закрывайте уязвимости по слоям: ввод → аутентификация → доступ → сервер → логика.

17 путей · 6 этапов

Полное покрытие OWASP Top 10 на чистом net/http и Fiber.

Python

14 путей · 4 этапа

Flask, Jinja2, PyJWT — реальные ошибки в боевых веб-приложениях.

PHP

14 путей · 5 этапов

Native PHP + Apache: type juggling, file-inclusion и unserialize — векторы, которых нет в других стеках.

Node.js

14 путей · 5 этапов

Express, EJS/Pug и jsonwebtoken — плюс prototype pollution и ReDoS, которых нет в других стеках.

OWASP

10 категорий · 7 покрыто

Карта наших путей по официальному рейтингу Top 10 · 2021.

Go Маршрут — Go

От SQL-инъекций до WebSocket-безопасности

Стройная лестница из шести этапов. Закрываете слой — переходите выше; пропустить можно, но возвращаться придётся.

01
Инъекции
С чего обычно начинается практика AppSec: пользовательский ввод приземляется в SQL и HTML.
- Inject
  SQL Injection
  От UNION-выборки до blind-timing — учимся читать чужие таблицы.
- Inject
  Cross-Site Scripting
  Reflected, stored и DOM-based XSS — от alert(1) до угона сессии.
02
Аутентификация и сессии
Кто заходит и как мы это проверяем. Пароли, токены, формы.
03
Контроль доступа и утечки
Когда логин уже пройден, начинается реальная работа авторизации.
04
Server-side выполнение
Пробиваемся с уровня данных на уровень самого сервера.
05
Логика и параллелизм
Уязвимости там, где код кажется «правильным» — баги бизнес-правил и race conditions.
06
Реальное время
Атаки на каналы, в которых клиент держит постоянное соединение.
- Realtime
  WebSocket-безопасность
  Origin-чек, hijack соединений и инъекции в JSON-сообщениях.

Python Маршрут — Python

От Flask-инъекций до десериализации

Четыре этапа Flask-стека: классические инъекции, токены и сессии, авторизация, серверное выполнение кода.

01
Инъекции
Flask и пользовательский ввод: классические SQLi и XSS как стартовая площадка.
- Inject
  SQL Injection
  Конкатенация в cursor.execute, UNION и blind через time.sleep.
- Inject
  Cross-Site Scripting
  Markup, |safe, render_template_string — пути в обход Jinja autoescape.
02
Аутентификация и сессии
Flask-Login, Werkzeug-сессии и JWT — где ломаются заходы и токены.
03
Контроль доступа и утечки
После логина — самая частая причина утечек: «забыли проверить, чьё это».
04
Server-side выполнение
От ввода в шаблон до полноценного RCE через десериализацию.

PHP Маршрут — PHP

От SQLi до type juggling

Пять этапов native PHP под Apache: классические инъекции, доверие к сессиям, контроль доступа, серверное выполнение и финал — PHP-специфика, которой нет в строгих языках.

01
Инъекции
Native PHP без ORM и без autoescape: где user input заходит прямо в код или разметку.
- Inject
  SQL Injection
  mysqli и PDO — где разработчики забывают prepare и попадают в UNION-выборку.
- Inject
  Cross-Site Scripting
  Reflected и stored XSS в нативных шаблонах без autoescape — htmlspecialchars там, где нужно.
02
Аутентификация и сессии
Сессии PHP, password_hash и JWT — где ломается доверие к идентификации пользователя.
03
Контроль доступа и утечки
После логина — самая частая причина утечек: проверки доступа, которых забыли поставить.
- Access
  IDOR
  Прямой доступ к чужим записям по ?user_id= или id в query.
- Access
  Path Traversal
  fopen, file_get_contents и readfile с user input — чтение файлов вне webroot.
04
Server-side выполнение
От ввода в шаблон до RCE через десериализацию и include — классические PHP-векторы.
05
PHP-специфика
Уязвимости, которые возможны только в PHP — следствие слабой типизации и magic-поведения языка.
- Logic
  Type Juggling
  == против ===: '0e1234' и '00' сравниваются как равные. Login bypass через magic hash.

Node.js Маршрут — Node.js

От Express-инъекций до prototype pollution

Пять этапов Express-стека: классические инъекции, токены и сессии, контроль доступа, серверное выполнение и финал — Node.js-специфика, которой нет в синхронных рантаймах.

01
Инъекции
Express и пользовательский ввод: классические SQLi и XSS как стартовая площадка.
- Inject
  SQL Injection
  Конкатенация в better-sqlite3 и Knex, UNION, blind и обход WAF.
- Inject
  Cross-Site Scripting
  Reflected, stored и DOM-based — от атрибутного контекста до обхода CSP-nonce.
02
Аутентификация и сессии
Express-сессии, jsonwebtoken и пароли — где ломается доверие к личности пользователя.
03
Контроль доступа
После логина — самая частая причина утечек: «забыли проверить, чьё это».
04
Server-side выполнение
От ввода в шаблон до RCE через шелл и шаблонизатор.
05
Node.js-специфика
Уязвимости, возможные только в Node: следствие прототипов JS и однопоточного event loop.
- Pollution
  Prototype Pollution
  Загрязнение Object.prototype через merge — гаджеты до DoS и RCE.
- DoS
  ReDoS
  Catastrophic backtracking блокирует event loop одним запросом.

OWASP Top 10 · 2021

Как пути ложатся на OWASP Top 10

Каждый путь закрывает один или несколько классов из официального рейтинга OWASP. Категории без путей — то, что мы планируем покрыть в ближайших итерациях.

A01:2021