دسته بندی : دوره های تخصصی امنیت ماهیت دوره : علمی کاﺭبرﺩی
پیش نیاز: 
آشنایی اولیه با مفاهیم تست نفوذ
شهریه دوره : مدت دوره : 60 ساعت
دوره تخصصی SEC 542+SEC 642
پیش ثبت نام

معرفی دوره:

 Web App Penetration Testing and Ethical Hacking ,SEC 542

 Advanced Web App Penetration Testing, Ethical Hacking, and Exploitation Techniques ,SEC 642

بخش اول این آموزش براساس دوره 542 SEC با تمرکز روی آشنایی با حملات وب، تکنیک های پایه و مفاهیم برنامه های کاربردی تحت وب است. در بخش دوم که مطابق با SANS 642 می باشد، تکنیک های پیشرفته و ترکیبی نفوذ بروی سیستم های تحت وب و سامانه های مستقر در Backend (پایگاه داده، سرورها و...) تدریس و تمرین خواهند شد.

 

اهداف دوره:

  • آشنایی باتکنولوژی های برنامه های کاربردی تحت وب
  • تسلط بر معماری وب
  • آشنایی با آسیب پذیری های مدرن
  • شناسایی نقاط آسیب پذیر و نحوه بهره برداری
  • آشنایی کامل با مکانیزم های تدافعی
  • نحوه ارائه راهکارهای امن سازی
  • مقاوم سازی برنامه های کاربردی تحت وب

 

مخاطبین دوره:

  • کارشناسان و مدیران فناوری اطلاعات
  • کارشناسان و مدیران حوزه امنیت اطلاعات
  • متخصصین ارزیابی امنیتی و تست نفوذ
  • متخصصین نرم افزار

مقدمه و جمع آوری اطلاعات

  • آشنایی با فرم های تحت وب
  • بررسی برنامه های کلاینت/سروری
  • معماری وب
  • بررسی یک نشست تحت وب
  • آشنایی با آسیب پذیری های مختلف
  • شناسایی اطلاعات DNS
  • پروتکل HTTP زیر ذره بین
  • وب سوکت
  • بررسی پروتکل SSL
  • بهره برداری از آسیب پذیری Heartbleed
  • مجهزکردن ابزار Burp Suite برای شروع تست ها

شناسایی و آزمون فرآیند احراز هویت

  • پویش با ابزار Nmap
  • شناخت زیرساخت بوسیله برنامه کاربردی تحت وب
  • شناسایی ماشین اصلی و سیستم عامل
  • نفوذ و بهره برداری از Virtual Hosting و تأثیرات آن
  • شناسایی WAF و Load Balancerهای وب
  • شناسایی تنظیمات نرم افزاری
  • آشنایی با روش ها و ابزارهای Spider Web
  • نفوذ و بهره برداری فایل های غیرمرتبط
  • کشف و بهره برداری از آسیب پذیری Shellshock
  • احراز هویت تحت وب زیرذره بین
  • کشف نام های کاربری و حدس زدن رمزعبور کاربران
  • فازینگ
  • آشنایی با ماژول Intruder ابزار Burp

حملات تزریق کد

  • ردیابی نشست تحت وب
  • بررسی امکان دور زدن احراز هویت
  • تمرین در لابراتوار با ابزار OWASP Mutillidae
  • آشنایی با حملات تزریق دستور (Command Injection)
  • آشنایی با حملات Directory Traversal
  • آشنایی با حملات  LFI  و RFI
  • آشنایی و شرح انواع حملات تزریق در پایگاه داده (SQL Injection)
  • آشنایی با ابزارهای SLQi
  • تمرین عملی SQLi با ابزار SQLmap

حملات XXE و XSS

  • آشنایی و شرح حمله XXE
  • آشنایی و شرح حملات XSS
  • اجرای لابراتوار XSS و نفوذ به کلاینت با استفاده از پلتفرم BeEF
  • آشنایی با آسیب پذیری های منطقی
  • AJAX زیر ذره بین
  • بررسی تکنولوژی های XML و JSON
  • Document Object Model (DOM)
  • حملات منطقی (Logic Attacks)
  • حملات روی API

CSRF و ابزارهای پیشرفته

  • آشنایی و شرح حمله CSRF
  • آشنایی مختصر با زبان برنامه نویسی پایتون برای آزمون نفوذ
  • لابراتوار عملی ابزار WPScan
  • لابراتوار عملی ابزار W3af
  • استفاده از Metasploit برای آزمون نفوذ تحت وب
  • آشنایی با تکنیک های بالا بردن سطح دسترسی و نفوذ به بخش های دیگر سیستم
  • لابراتوار عملی سرقت کوکی های کاربر
  • آشنایی با نحوه اجرای دستورات با سؤاستفاده از آسیب پذیری های وب

حملات پیشرفته

  • اجرای سناریوهای پیشرفته حملات LFI/RFI
  • آشنایی و بهره برداری از Blind SQLi
  • آشنایی و بهره برداری از اجرای ترکیبی XSS و XSRF

رمزنگاری در برنامه های کاربردی تحت وب

  • شناسایی مدل رمزنگاری
  • تحلیل و حمله روی کلیدهای رمزنگاری
  • بهره برداری از آسیب پذیری Stream Cipher IV
  • بهره برداری از آسیب پذیری  Electronic Codebook (ECB)
  • بهره برداری از آسیب پذیری Cipher Block Chaining (CBC)
  • بررسی آسیب پذیری PKCS#7

رابط های ثانویه وب

  • شنود ترافیک وب بروی برنامه موبایل
  • بررسی آسیب پذیری های JAVA/ FLASH/ ActiveX/Silverlight
  • وب-سرویس های SOAP و REST
  • آشنایی با تکنیک های ارزیابی امنیتی و آزمون نفوذ وب-سرویس
  • بررسی آسیب پذیری های WebSocket

فایروال های تحت وب و تکنیک های دور زدن

  • تسلط بر عملکرد فایروال های تحت وب
  • آشنایی با نحوه پیکربندی Rule
  • شناسایی WAF و برند مربوطه
  • استفاده از UNICODE، CTYPEs و... جهت دور زدن WAF
  • لایراتوار دور زدن WAF و اجرای حملات SQLi و XSS
شماره برگزاری مدت (ساعت) روز و ساعت شهریه تاریخ شروع نوع دوره پیش ثبت نام

-اعطای مدرک فارسی و انگلیسی با مجوز رسمی از :

  • مجوز از اداره کل نظام مدیریت امنیت اطلاعات ( نما )
  • سازمان مدیریت و برنامه ریزی کشور (معاونت توسعه مدیریت و سرمایه انسانی)
  • تاییدیه صلاحیت از شرکت ملی نفت ایران
  • شورای عالی انفورماتیک
  • قابلیت ترجمه و تایید قوه قضاییه وامور خارجه

 

-تنها نماینده رسمی جهت برگزاری آزمون بین المللی و ارائه مدرک بین المللی دوره

-مدرس مورد تایید و دارای لایسنس CEI  از مرکز رسمی EC-Council

-بهره گیری از لابراتوار مجهز

-آموزش آخرین ورژن از دوره

-پذیرایی میان وعده رایگان

-ظرفیت کلاسها 8 الی 14 نفر می باشد

 

«تمامي كالاها و خدمات اين فروشگاه، حسب مورد داراي مجوزهاي لازم از مراجع مربوطه مي‌باشند و فعاليت‌هاي اين سايت تابع قوانين و مقررات جمهوري اسلامي ايران است.»