دوره SANS SEC542
برنامههای وب در هر سازمان مدرن نقش اساسی دارند. اما اگر سازمان شما برنامههای وب خود را به درستی آزمایش و ایمن نکرده باشد، مهاجمان میتوانند این برنامهها را به خطر بیاندازند، به عملکرد تجاری آسیب بزنند و دادهها را سرقت کنند. متأسفانه بسیاری از سازمانها تحت این تصور اشتباه عمل میکنند که یک اسکنر امنیتی برنامه کاربردی وب با اطمینان میتواند نقصهایی را در سیستمهای خود کشف کند. دفاع سایبری مدرن مستلزم درک واقعبینانه و کاملی از موضوعات امنیتی برنامههای وب است. این دوره SANS SEC542 به شما کمک میکند تا تاثیر واقعی نقص برنامههای وب را از طریق بهرهبرداری نشان دهید.
هرکسی میتواند یاد بگیرد که یک سری هکهای پیش پا افتاده بر روی وب انجام دهد، اما آزمایش نفوذ برنامه کاربردی وب به چیزی عمیقتر نیاز دارد. دانش آموزان میتوانند نقصهای اصلی برنامههای وب و بهرهبرداری از آنها را درک کنند و از همه مهمتر، یک فرایند آزمایش شده و تکرار شونده میدانی را یاد بگیرند تا به طور مداوم این نقص ها را پیدا کرده و آنچه را که آموختهاند به سازمان خود ارائه دهند. حتی حرفهایهای امنیتی با استعداد فنی اغلب با کمک به سازمانها میتوانند ریسک را از نظر قابل قبولی کاهش دهند. بخش عمدهای از هنر آزمایش نفوذ ارتباطی با یادگیری چگونگی شکست دشمنان نسبت به آنچه در متقاعد کردن یک سازمان برای جدی گرفتن خطر و استفاده از اقدامات متقابل مناسب دارد. هدف SEC542 امنیت بهتر سازمانها از طریق آزمایش نفوذ است و فقط مهارت هک کردن را نشان نمیدهد.
پیشنیاز دوره SANS SEC542
- CEH
مخاطبین دوره SANS SEC542
- برنامه نویسان وب
- کارشناسان مدیریت وب سایتها
- کارشناسان امنیت
- مدیران امنیت اطلاعات
- کارشناسان واحد پاسخگویی به حوادث
- کارشناسان واحد مرکز عملیات امنیت
مزایای دوره SANS SEC542
- ارائه مدرک معتبر
- برگزاری دورهها بصورت کاملا عملی
- استفاده از لابراتور مجهز
- استفاده از برترین اساتید داخلی و با مدرک بینالمللی
- با توجه به حضور گروه دوران در بیش از 1000 پروژه سازمانی، امکان معرفی دانشجویان دوره به بازار کار مرتبط به دورهها
- تخفیف جهت حضور در دورههای بعدی
- دريافت مدرک بينالمللی مرتبط
سرفصل دوره آموزش SANS SEC542
SEC542 به دانشجویان کمک میکند از روش اسکن با فشار دکمه به سمت تستهای نفوذ حرفهای، کامل و با ارزش بالا در وب تغییر جهت دهند.
مشتریان انتظار دارند برنامههای وب، عملکرد قابل توجه و چشمگیر و دسترسی مطلوب به دادهها را ارائه دهند. حتی فراتر از اهمیت برنامههای وب مشتری مداری، برنامههای وب داخلی بیش از پیش نشان دهنده متداولترین ابزارهای تجاری در هر سازمان هستند. متأسفانه، هیچ “پچ سه شنبه” ای برای برنامههای وب سفارشی وجود ندارد، بنابراین مطالعات بزرگ صنعت نشان میدهد که نقص برنامههای وب نقش عمدهای نقض و نفوذ به شبکه دارند. مهاجمین بطور روزافزونی بر این اهداف با ارزش تمرکز کردهاند، یا با سو استفاده مستقیم از برنامههای در دسترس عموم یا با تمرکز روی برنامههای وب به عنوان هدف، بعد از یک نفوذ اولیه.
دفاع سایبری مدرن مستلزم درک واقع بینانه و کاملی از مشکلات امنیتی برنامههای وب است. هرکسی میتواند یاد بگیرد چند هک وب را انجام دهد، اما آزمایش نفوذ برنامه کاربردی وب به چیزی عمیقتر نیاز دارد.
SEC542 دانش آموزان را قادر میسازد تا وضعیت امنیتی یک برنامه وب را ارزیابی کنند و به طور قانع کنندهای بتوانند تأثیر امنیت ناکافی، که بیشتر سازمانها را آزار میدهد نشان دهند.
دانش آموزان میتوانند نقصهای اصلی برنامههای کاربردی وب و بهرهبرداری از آنها را درک کنند و از همه مهمتر، یک فرایند عملا آزمایش شده و تکرار شونده را یاد بگیرند تا به طور مداوم این نقصها را پیدا کرده و آنچه را که آموختهاند به سازمان خود ارائه دهند.
حتی حرفهایهای امنیتی کاملا فنی، اغلب برای کمک به سازمانها برای درک ریسک، به گونهای که در زمینه آن کسب و کار قابل فهم باشد، مشکل دارند. بخش عمدهای از هنر تست نفوذ ارتباط کمتری با یادگیری چگونگی نفوذ مهاجمین دارد و بیشتر تمرکز بر روی قانع کردن سازمان ها برای جدی گرفتن خطر و اقدامات متقابل مناسب دارد. هدف SEC542 امنیت بهتر سازمانها از طریق آزمایش نفوذ است و فقط مهارت هک کردن را نشان نمیدهد. این دوره به شما کمک میکند تا تاثیر واقعی نقص برنامههای وب را از طریق بهرهبرداری آشکار کنید.
علاوه بر مطالب درسی با کیفیت بالا، SEC542 به شدت روی آزمایشگاههای عمیق و کاربردی تمرکز دارد تا اطمینان حاصل شود که دانشآموزان میتوانند بلافاصله آنچه را که یاد میگیرند اعمال کنند.
علاوه بر بیش از 30 آزمایشگاه رسمی و عملی، این دوره با یک تورنمت پن تست برنامه کاربردی وب، با پشتیبانی SANS NetWars Cyber Range، به اوج خود میرسد. این رویداد Capture the Flag در روز پایانی، دانش آموزان را به تیمهایی تقسیم میکند تا دستورات تازه اکتساب شده خود از تکنیکهای تست نفوذ وب را به روشی سرگرمکننده بکار گیرند تا دروس آموخته شده در خانه را با جدیت دنبال کنند.
دانستن دیدگاه مهاجم برای آزمایش موفقیتآمیز نرمافزار وب مهم است. این دوره با بررسی دقیق فنآوری وب از جمله پروتکلها، زبانها، مشتریها و معماریهای سرور از منظر مهاجم آغاز میشود. ما همچنین سیستمهای تأیید هویت مختلف، از جمله احراز هویت Basic، Digest، Forms و Windows Integrated را بررسی کرده و در مورد نحوه استفاده سرورها از آنها و سو استفاده مهاجمان گفتگو میکنیم. پس از تأیید اعتبار، ما اهمیت رمزگذاری و HTTPS را تجزیه و تحلیل میکنیم. قبل از ترک HTTPS، ما به نقص بدنام Heartbreed میپردازیم و اولین تجربه بهرهبرداری در آزمایشگاه عملی را خواهیم داشت.
سپس ما به چهار مرحلهای که فرایند ما را برای انجام آزمایشهای نفوذ در برنامه وب تشکیل میدهد روی میآوریم: شناسایی، نقشهبرداری، کشف و بهرهبرداری.
در روز اول، ما اصول اساسی هر مرحله را مرور میکنیم و در خصوص اینکه که چگونه آزمایش کنندگان نفوذ میتوانند از آنها به عنوان یک فرآیند حمله عمیق چرخهای استفاده کنند، صحبت میکنیم. سپس انواع تست نفوذ را پوشش میدهیم و اینکه چه قطعاتی لازم است بخشی از یک گزارش دقیق و با ارزش تست نفوذ باشند. برای تکمیل روز دوره، ما جنبههای یک برنامه وب آسیبپذیر را با استفاده از Burp Suite بررسی میکنیم.
روز دوم با مراحل شناسایی و نقشهبرداری از یک آزمون نفوذ برنامه وب آغاز میشود. شناسایی شامل جمعآوری اطلاعات در دسترس عموم در مورد برنامه و سازمان مورد هدف، شناسایی دستگاههایی که از برنامه هدف ما پشتیبانی میکنند و ایجاد پروفایل از هر سرور از جمله سیستم عامل، نرمافزار خاص و پیکربندی میباشد.
بحث و گفتگو از طریق مشاهده آزمایشگاهی روشهای کاربردی مورد تاکید قرار میگیرد که در آن شناسایی را بر روی اهداف داخل کلاس انجام میدهیم. در مرحله نقشهبرداری، یک نقشه یا نمودار از صفحات و ویژگیهای برنامه ایجاد میکنیم. این مرحله شامل شناسایی مؤلفه ها، تجزیه و تحلیل رابطه بین آنها و تعیین نحوه کار قطعات با هم است.
ما اغلب نقصهای پیکربندی در مؤلفه های زیرساخت برنامه کاربردی وب را در مرحله نقشه برداری کشف میکنیم. پس از بحث در مورد این نوع نقصها، ما از آسیبپذیری Shellshock بعنوان فرصتی برای تجربه عملی عمیقتر با Burp Suite، CURL و تکنیکهای سو استفاده دستی استفاده میکنیم. سپس بطور عمیقتر در برنامههای وب عنکبوتی/خزنده غوطه ور میشویم. “خزیدن” بخشی مهم از هر دو مرحله نقشهبرداری و تست نفوذ کلی را نشان میدهد.
این بخش همچنان به بررسی روش شناسی ما با مرحله کشف ادامه میدهد. ما بر اساس اطلاعات مشخص شده در مرحله نقشهبرداری، روشهایی را برای یافتن و تأیید آسیبپذیریهای موجود در برنامه ایجاد میکنیم. دانشآموزان همچنین شروع به بررسی تعامل بین آسیبپذیریهای مختلف خواهند کرد.
این روز از دوره عمیقا به تکنیکهای حیاتی تست دستی برای کشف آسیب پذیری میپردازد. برای تسهیل تست دستی، روز را با معرفی پایتون و یک آزمایشگاه عملی با آن، شروع میکنیم.
علاوه بر اسکریپتهای سفارشی، ما بر روی توسعه دانش عمیق از پروکسی رهگیری برای کشف آسیبپذیری برنامه وب تمرکز میکنیم. قسمت مهم این روز شامل صرف زمان قابل توجهی در کار با نقصهای تزریقی سنتی و نابینای SQL است.
در طول مرحله کشف، ما روشهای دستی و و همچنین اتوماتیک برای کشف آسیبپذیری در برنامهها را بررسی خواهیم کرد و در مورد شرایطی که هر یک مناسب است، بحث خواهیم کرد.
در روز چهارم، دانشجویان به بررسی مرحله کشف روش و متد ادامه میدهند. ما روشهایی را برای کشف آسیبپذیریهای کلیدی در برنامههای وب، مانند برنامهنویسی متقاطع سایت (XSS) و جعل درخواست متقابل (CSRF / XSRF) پوشش میدهیم. روشهای کشف دستی در آزمایشگاههای عملی استفاده میشوند.
این روز از دوره همچنین شامل بحث مفصلی در مورد AJAX خواهد بود زیرا ما بررسی میكنیم كه چگونه AJAX سطح حمله را كه توسط آزمایش كنندگان به آن نفوذ میشود را بزرگ میكند. ما همچنین تجزیه و تحلیل میکنیم که چگونه AJAX تحت تأثیر سایر آسیبپذیریهایی است که در ابتدای دوره بصورت عمقی پوشش داده شدهاند.
روز چهارم پس از بررسی دقیق آسیبپذیریهای مختلف و روشهای کشف دستی، با بررسی انواع مختلف وب خودکار به پایان میرسد.
در روز پنجم، ما سواستفادههای واقعی را علیه برنامههای کاربردی در دنیای واقعی راهاندازی میکنیم و آن را بر روی سه مرحله قبلی بنا میکنیم، پایههای خود را در داخل برنامه گسترش میدهیم و آن را به شبکهای که در آن ساکن است گسترش میدهیم. به عنوان آزمایشکنندگان نفوذ، ما برای رسیدن به دسترسی بیشتر، به طور خاص بر روی راههایی برای بهرهگیری از آسیبپذیریهایی که قبلا کشف کردهایم، تمرکز میکنیم، ضمن تاکید بر ماهیت چرخهای روش حمله چهار مرحلهای.
در مرحله بهرهبرداری، ما استفاده از ابزارهایی مانند ZAP و Burp Suite را گسترش میدهیم و آنها را با استفاده بیشتر از sqlmap، BeEF، چارچوب بهرهبرداری از مرورگر و Metasploit برای کمک به سواستفاده در برابر برنامههای مختلف وب، تکمیل میکنیم.
ما از میان گزینهها، تزریق SQL، برنامهنویسی متقاطع (XSS) و جعل درخواستهای متقابل سایت را آغاز میکنیم. در کلاس ما از این نقصها برای انجام سرقت دادهها، جلسات ربودن، سرقت کلمه عبور، گرفتن پوسته، محوری در برابر شبکههای متصل و موارد دیگر بهرهبرداری میکنیم.
در کلاس ما از این نقصها برای سرقت دادهها، جلسات هایجک، سرقت کلمه عبور، گرفتن پوسته، چرخش محور در برابر شبکههای متصل و موارد دیگر بهرهبرداری میکنیم. دانشجو از طریق اشکال مختلف بهرهبرداری، درک زیادی از تاثیر احتمالی تجارت این نقصها در سازمان پیدا میکند.
در روز ششم، دانشآموزان تیمهایی تشکیل میدهند و در تورنمنت تست نفوذ نرم افزار وب رقابت میکنند. این تمرین با قابلیت NetWars Capture the Flag این امکان را به دانشجویان میدهد تا از مهارتهای تازه توسعه یافته خود را برای پاسخ دادن به سؤالات، تکمیل ماموریتها و استخراج داده استفاده کنند و مهارتهای به دست آمده در طول دوره SANS SEC542 را به کار گیرند. سبک چالش و سیستم یکپارچه راهنمایی و “هینت” به دانشآموزان در سطوح مختلف مهارت اجازه میدهد تا از یک محیط گیم مانند لذت ببرند و در کنار آن مهارتهای آموخته شده در کلاس را تقویت کنند.
دوران آکادمی زیر مجموعه گروه دوران، مجری برگزاری دوره SANS SEC542 در قالب آموزش امنیت به صورت آموزش آنلاین و حضوری با بهرهگیری از لابراتور آنلاین اختصاصی بهمراه گواهی معتبر ارائه میشود.
منبع سایت sans
درخواست مشاوره
برای کسب اطلاعات بیشتر درباره این دوره درخواست مشاوره خود را ارسال کنید و یا با ما در تماس باشید.
درخواست مشاورهدوره های مرتبط
دوره آموزش CHFI
SharePoint یکی از محصولات تحت وب شرکت مایکروسافت است که اولین بار در سال ۲۰۰۱ ارائه شد SharePoint که با مجموعه آفیس مایکروسافت یکپارچه است.
دوره آموزش CIH
SharePoint یکی از محصولات تحت وب شرکت مایکروسافت است که اولین بار در سال ۲۰۰۱ ارائه شد SharePoint که با مجموعه آفیس مایکروسافت یکپارچه است.
دوره آموزش Android Pentest
SharePoint یکی از محصولات تحت وب شرکت مایکروسافت است که اولین بار در سال ۲۰۰۱ ارائه شد SharePoint که با مجموعه آفیس مایکروسافت یکپارچه است.
دوره آموزش IOS Pentest
SharePoint یکی از محصولات تحت وب شرکت مایکروسافت است که اولین بار در سال ۲۰۰۱ ارائه شد SharePoint که با مجموعه آفیس مایکروسافت یکپارچه است.
milad325
سلام وقت بخیر این دوره به صورت غیرحضوری برگزار نمیشه ؟ چون من شهرستان هستم
زارعی(مدیریت)
سلام وقت بخیر، در حال حاضر کلاس ها به صورت حضوری برگزار می شود.