[infosec-course] тема семинара в четверг

[Dennis Gamayunov]

Коллеги,

В четверг на семинаре выступят Николай Матюнин и Роман Беляев.
Тема: автоматизация взаимодействия с веб-приложениями (web scraping and
crawling) Семинар будет посвящен задачам автоматического анализа и
обхода веб-приложений.

Предполагаемый план семинара:
1) Обзор задач, требующих программной работы с вебом (обход приложения
при поиске уязвимостей, автоматическое тестирование, эмуляция действий
пользователя: автоголосование, загрузка контента и т.д.)
2) Реализация работы с вебом с помощью скриптов / HTTP-библиотек (на
примере Python + urllib2/requests, curl/wget).
В том числе:
- авторизация и непосредственное взаимодействие с приложением
(предварительно - ручной анализ страницы в перехватывающем прокси и
консоли браузера)
- обход простейшей защиты от роботов (установка User-Agent’а, таймеры
для множественных запросов, установка user-agent’а, варианты обхода captcha)
- смена identity на примере интеграции с TOR’ом (для накрутки
голосования, например)
3) Решение задач, требующих выполнения JS при взаимодействии с вебом
- внедрение JS-кода на страницу в перехватывающем прокси, hook
необходимых JS-функций
- Автоматизация действий в браузере c помощью WebDriver’ов
- Взаимодействие через headless-браузеры, имеющие исполнять JS (на
примере PhantomJS)
Планируется, что задачи будут подкреплены реальными challenge-задачами
(стянуть что-то с веб-приложения, сделать автоголосовалку и т.д.).
Будет предоставлена виртуалка с необходимыми инструментами.

С уважением,

Денис Гамаюнов