جستجو برای:
  • تقویم آموزشی
  • آموزش آنلاین
  • آموزش آفلاین
  • لابراتوار آنلاین
  • وبینارها
    • وبینار هوای پاک
    • وبینار Container on Wheels
    • وبینار مسیر آموزشی SANS
    • وبینار پدافند غیرعامل
    • وبینار Wazuh
  • بین الملل
    • آموزشگاه های بین المللی
    • آزمون های بین المللی
  • فرم پیش ثبت نام
  • فرصت های شغلی
  • دوره ها
    • امنیت
      • EC-Council
      • F5
      • Fortinet
      • ISACA
      • ISC2
      • Juniper
      • Payment Security
      • SANS
      • SCADA
      • Secure coding
      • SOC
      • Splunk
    • بانک اطلاعاتی
      • Oracle
      • SQL Server
    • برنامه نویسی
      • IOS
      • Web programming
    • ذخیره و بازیابی اطلاعات
      • Big Data
      • EMC
      • HP
      • Netbackup
      • veeam
    • شبکه
      • Cisco Old Level
      • Cisco New Level
      • CompTIA
      • EPI
      • Linux
      • Microsoft
      • Mikrotik
      • SolarWinds
    • کارکنان دولت
    • مجازی سازی
      • Cloud computing
      • Hyper-V
      • VMWare
    • مخابرات
    • مدیریت فناوری اطلاعات
      • ISO 27001
      • IT Management
      • Project Management
    • ویژه دوران
      • کارگاه ها و سمینارها
      • محصولات دوران
 
  • 02143585
  • academy@douran.com
  • دعوت به همکاری
  • درباره ما
  • تماس با ما
  • بلاگ
  • گروه دوران
آکادمی دوران
0

ورود و ثبت نام

دسته بندی‌ دوره‌ها
  • شبکه
    • Microsoft
    • SolarWinds
    • CompTIA
    • Cisco Old Level
      • Cisco New Level
    • Mikrotik
    • Linux
    • EPI
  • مخابرات
    • مخابرات
  • امنیت
    • ISC2
    • F5
    • EC-Council
    • Juniper
    • SOC
    • Fortinet
    • SANS
    • SCADA
    • ISACA
    • Secure coding
    • Payment Security
    • Splunk
  • مجازی سازی
    • Hyper-V
    • Cloud computing
    • VMWare
  • مدیریت فناوری اطلاعات
    • ISO 27001
    • IT Management
    • Project Management
  • برنامه نویسی
    • IOS
    • Web programming
  • ذخیره و بازیابی اطلاعات
    • Big Data
    • HP
    • EMC
    • Netbackup
    • veeam
  • بانک اطلاعاتی
    • Oracle
    • SQL Server
  • ویژه دوران
    • کارگاه ها و سمینارها
    • محصولات دوران
    • کارکنان دولت
  • صفحه اصلی
  • تقویم آموزشی
  • آموزش آنلاین
  • آموزش آفلاین
  • لابراتوار آنلاین
  • وبینارها
    • وبینار هوای پاک
    • وبینار Container on Wheels
    • وبینار مسیر آموزشی SANS
    • وبینار پدافند غیرعامل
    • وبینار Wazuh
  • بین الملل
    • آموزشگاه های بین المللی
    • آزمون های بین المللی
  • فرم پیش ثبت نام

دوره SEC642 : Advanced Web App Penetration Testing, Ethical Hacking

خانهامنیتSANSدوره SEC642 : Advanced Web App Penetration Testing, Ethical Hacking
دوره SEC642
حالت مطالعه

دوره SEC642 : Advanced Web App Penetration Testing, Ethical Hacking

آیا برنامه های تحت وب شما می توانند در مقابل هجوم روشهای پیشرفته حمله مقاومت کنند؟
برنامه های تحت وب مدرن پیشرفته تر و پیچیده تر می شوند زیرا آنها از فناوری های هیجان انگیز و جدید بهره می گیرند و از عملیات حساس تر پشتیبانی می کنند.
حتی در عصر وب 2.0 و AJAX، پیچیدگی HTTP و برنامه های وب مدرن با سرعت نفسگیری در حال پیشرفت است.
با توجه به استقرار ابری ، برنامه های وب به دنبال ارائه قابلیت های بیشتر در بسته های کوچکتر اما با فشار کمتری در زیرساخت های پس زمینه هستند.
در این دوره آموزشی  که شامل رمزنگاری فریب خورده، WebSockets ، HTTP / 2 و موارد  دیگری است، روش های پیشرفته تست نفوذ برنامه های تحت وب را به افراد آموزش می دهیم

تست نفوذ وب سرویس و تست نفوذ فریم ورک های مختلف از مطالب اصلی این دوره می باشد.افراد در دوره SEC642 با روش های دور زدن مکانیزم های امنیتی نیز آشنا می شوند.

پیش نیاز دوره

  • SANS 542

مخاطبین دوره SEC642

  • تحلیل‌گران Forensics
  • هکرهای قانونمند
  • کارشناسان امنیت
  • مدیران امنیت اطلاعات
  • کارشناسان واحد پاسخگویی به حوادث
  • کارشناسان واحد مرکز عملیات امنیت

مزایای دوره

  • ارائه مدرک معتبر
  • برگزاری دوره ها بصورت کاملا عملی
  • استفاده از لابراتور مجهز
  • استفاده از برترین اساتید داخلی و با مدرک بین المللی
  • با توجه به حضور گروه دوران در بیش از 1000 پروژه سازمانی، امکان معرفی دانشجویان دوره به بازار کار مرتبط به دوره ها
  • تخفیف جهت حضور در دوره های بعدی
  • دريافت مدرک بين المللی مرتبط

سرفصل دوره SEC642 : Advanced Web App Penetration Testing, Ethical Hacking

  1. SEC642.1: Advanced Attacks
    • Review of the testing methodology
    • Using Burp Suite in a web penetration test
    • Exploiting local and remote file inclusions
    • Exploring advanced discovery techniques for SQL injection and other server-based flaws
    • Exploring advanced exploitation of XSS and XSRF in a combined attack
    • Learning advanced exploitation techniques
    SEC642.2: Web Frameworks
    • Mass assignment in CakePHP
    • Authentication bypass in PHP
    • MEAN stack attack
    • SharePoint
    • WordPress
    SEC642.3: Web Cryptography
    • Identifying the cryptography used in the web application
    • Analyzing and attacking the encryption keys
    • Exploiting stream cipher IV collisions
    • Exploiting Electronic Codebook (ECB) Mode Ciphers with block shuffling
    • Exploiting Cipher Block Chaining (CBC) Mode with bit flipping
    • Vulnerabilities in PKCS#7 padding implementationsSEC642.4: Alternative Web Interfaces
    • Intercepting traffic to web services and from mobile applications
    • Flash, Java, ActiveX, and Silverlight vulnerabilities
    • SOAP and REST web services
    • Penetration testing of web services
    • WebSocket protocol issues and vulnerabilities
    • New HTTP/2 protocol issues and penetration testingSEC642.5: Web Application Firewall and Filter Bypass
    • Understanding of Web Application Firewalling and filtering techniques
    • Determining the rule sets protecting the application
    • Fingerprinting the defense techniques used
    • Learning how HTML5 injections work
    • Using UNICODE, CTYPEs, and Data URIs to bypass restrictions
    • Bypassing a Web Application Firewall’s best-defended vulnerabilities, XSS and SQLiSEC642.6: Capture the Flag

زیر ساخت. به دورانی خوش آمدید که شامل رمزنگاری فریب خورده، WebSockets، HTTP / 2 و موارد دیگر دیگری است. آیا مهارت های ارزیابی برنامه کاربردی وب شما و مهارت های تست نفوذ شما برای ارزیابی این فناوری های جدید چشمگیر و ایمن تر کردن آنها آماده است؟

آیا شما آماده هستید تا برنامه های وب خود را با مهارت های به روز آزمایش کنید؟

این دوره تست نفوذ به گونه ای طراحی شده است که مهارت ها و تکنیک های پیشرفته مورد نیاز برای تست برنامه های وب مدرن و فناوری های نسل بعدی را به شما آموزش دهد. این دوره از ترکیبی از سخنرانی، تجربیات دنیای واقعی و تمرینات عملی برای آموزش تکنیک های تست امنیت فناوری های وب محرمانه داخلی و همچنین برنامه های کاربردی اینترنتی پیشرفته استفاده می کند.

روز آخر دوره در مسابقات Capture the Flag به پایان می رسد که شما در آن دانش خود را که در طی پنج روز گذشته به دست آورده اید در یک محیط سرگرم کننده و مبتنی بر فناوری های دنیای واقعی اعمال خواهید کرد.

یادگیری عملی مهارت های بهره برداری از برنامه وب پیشرفته

ما با بررسی تکنیک های پیشرفته و حمله هایی که ممکن است همه برنامه های کاربردی پیچیده امروزی در برابر آنها آسیب پذیر باشند، شروع می کنیم. ما در مورد چارچوب های جدید وب و پس زمینه های وب می آموزیم، سپس رمزگذاری را کشف می کنیم زیرا مربوط به برنامه های وب است، و بصورت عمیق تر رمزنگاری عملی که توسط وب استفاده می شود را بررسی می کنیم، مانند تکنیک هایی برای شناسایی نوع رمزگذاری در استفاده در برنامه و روش های سوء استفاده از آن.

ما به فرانت-اندهای جایگزین برای برنامه های وب و خدمات وب مانند برنامه های تلفن همراه نگاه خواهیم کرد و پروتکل های جدید مانند HTTP / 2 و WebSockets را بررسی خواهیم کرد. بخش پایانی کلاس به نحوه شناسایی و دور زدن فایروال های برنامه وب، فیلتر و سایر روش های محافظت می پردازد.

1

هرچه برنامه ها و آسیب پذیری های آنها پیچیده تر می شوند، آزمایش کنندگان نفوذ باید بتوانند اهداف پیشرفته را مدیریت کنند. ما دوره را با تست نفوذ ابتدایی و  یک برنامه کوچک شروع خواهیم کرد. پس از بررسی این تمرین، برخی از تکنیکهای پیشرفته تر برای نقص های سرور LFI / RFI و SQLi را بررسی خواهیم کرد.  سپس نگاهی به حملات ترکیبی XSS و XSRF خواهیم انداخت و در این اقدام دو نقطه آسیب پذیر را برای تاثیر بیشتر با هم بکار می بریم. پس از کشف نقص ها، از روش های مختلفی استفاده خواهیم نمود که از این نقص ها فراتر از ابزاری که امروزه بطور معمول نشان داده می شوند بهره برداری کنم. این تکنیک های پیشرفته به آزمایش کنندگان تست نفود کمک میکنند تا روش هایی بیابند تا این آسیب پذیری ها را از طریق بهره برداری (اکسپلویت) پیشرفته و ویژه به سازمان نشان دهند.

2

ما همچنان به بررسی تکنیک های پیشرفته برای کشف و بهره برداری در دنیای پیچیده برنامه های وب  ادامه خواهیم داد. ما به آسیب پذیری هایی که می توانند بر روی برنامه های وب که به هر زبان بک-اند نوشته شده باشد تاثیر گذارند خواهیم پرداخت، و سپس این امر را بررسی خواهیم نمود که چطور نقص های منطقی، به ویژه در Mass Object Assignments، می توانند تاثیرات بسیار مخربی بر امنیت داشته باشند. ما همچنین باورهای تیم های توسعه دهنده اصلی را در مورد زبان های برنامه نویسی بک-اند بررسی نموده و و به این مساله پی خواهیم برد که حتی چیزی به سادگی کار با انواع مختلف اطلاعات درمتغیرها می تواند از طریق وب و با استفاده از Type Juggling و توالی آبجکت می تواند استفاده شود. در ادامه ما به کاوش پیرامون چندین برنامه و چارچوب محبوب، و روشی که آنها تکنیک های کشف را در یک تست نفوذ تغییر می دهند خواهیم پرداخت. بخشی از این مبحث ما را به سمت تکنولوژی های پیشرفته ای چون MEAN stack سوق خواهد داد، که در آن JavaScript از جستجوگر، سرور وب و حافظه بک-اند NoSQL بکار میرود. بخش نهایی کلاس برنامه هایی در مورد سیستم های مدیریت محتوا مانند SharePoint و WordPress را بررسی می کند که نیازها و ویژگی های خاصی دارند که آنها را برای آزمایش کننده پیچیده تر و مفیدتر می کند.

ضعف های رمزنگاری بخش بزرگی از آسیب پذیری های برنامه را تشکیل می دهند، اما آزمایش کننده های نفوذ کمی وجود دارند که میتوانند این نقص ها را بررسی کرده، به آنها حمله کنند و از آنها بهره برند. وقتی ما در مورد حملات رمز نگاری برنامه وب تحقیق می کنیم، بطور معمول بکاربستن و استفاده رمزنگاری را در برنامه های وب مدرن مورد هدف قرار می دهیم. بسیاری از زبان های برنامه نویسی وب و چارچوب های توسعه، خدمات رمزنگاری را در دسترس توسعه دهنده قرار می دهند. اینها غالبا از اطلاعات رمزنگاری شده در مقابل حملات محافظت نمی کنند، و یا به توسعه دهنده اجازه می دهند تا از رمزنگاری به طور ضعیفی استفاده کند. این اشتباهات در بکاربستن موضوع بحث این بخش خواهند بود، و نه بهره برداری از ضعف های موجود در الگوریتم های رمزنگاری. ما همچنان به روش های مختلفی که برنامه ها به طور نا امن از رمزنگاری و درهم سازی (hashing  (استفاده می کنند خواهیم پرداخت. کارآموزان تکنیک هایی مثل شناسایی انواع رمزنگاری تا بررسی انواع نقص در تکنیک های رمزنگاری و درهم سازی را خواهند آموخت.

برنامه های وب دیگر محدود به رابط های HTML نیستند. خدمات وب و برنامه های تلفن همراه بسیار پر کاربرد شده اند و بطور مداوم برای حمله به کاربران و سازمان ها استفاده می شوند و بدین علت بسیار اهمیت دارد که آزمایش کنندگان نفوذ بدانند که چطور امنیت این سیستم ها را بسنجند. ما نقص های   Flash، Java، Active X و Silverlight را مورد بررسی قرار خواهیم داد و تکنیک های مختلفی را برای کشف نقص ها درون برنامه و سیستم های بک-اند خواهیم آموخت. این تکنیک ها از ابزاری چون Burp Suite و دیگر ابزار اتوماتیک استفاده خواهند کرد. ما از تمرینات آزمایشگاهی برای مطالعه در مورد جدیدترین پروتکل های HTTP/2 و WebSockets و بهره برداری از نقص های مشاهده شده در هر یک از آنها استفاده خواهیم کرد.

5

امروزه برنامه ها از کنترل های امنیتی بیشتری استفاده می کنند تا از حملات پیشگیری نمایند. این کنترل ها مثل Web Application Firewalls و تکنیک های فیلترینگ، کار را برای آزمایش کننده های نفوذ در حین عمل تست سخت تر می کند. آنها بسیاری از ابزار اتوماتیک و تکنیک های ساده را که برای کشف نقص ها بکار میروند بلاک میکنند. در این روز ما تکنیک های بکار رفته برای برنامه ریزی این کنترل ها و چگونگی تنظیمات این کنترل ها برای ممانعت از حملات را ملاحظه میکنیم. شما خواهید توانست گروه های قانون را برنامه ریزی کرده و ویژگی های روش کشف حملات توسط Web Application Firewall را مشخص کنید. سپس این برنامه ریزی برای مشخص کردن حملاتی که کنترل را دور میزنند بکار میرود. شما از HTML5، UNICODE و دیگر روش های رمزگذاری استفاده خواهید کرد که به تکنیک های کشف شما امکان کار درون برنامه محافظت شده را می دهند.

6

در این روز پایانی  دوره، شما مسئول یک شبکه خواهید شد و موقعیت انجام یک تست نفوذ کامل را خواهید داشت. هدف این تمرین این است که شما تکنیک ها، ابزار و روش هایی را که در پنج روز گذشته آموخته اید بسنجید. شما خواهید توانست از این مهارت ها در یک اکسترانت و اینترانت واقعی استفاده کنید. در پایان روز گزارشی شفاهی از یافته های خود و روش هایی که برای انجام تست بکار برده اید ارائه خواهید داد. یک ماشین مجازی که شامل چارچوب تست وب Samurai (SamuraiWTF) است در اختیار کارآموزان قرار خواهد گرفت. میتوانید از این ماشین در کلاس و پس از اتمام آن و بازگشت به مشاغل خود استفاده کنید.

 

 

دوران آکادمی زیر مجموعه گروه دوران، مجری برگزاری دوره SEC642 : Advanced Web App Penetration Testing, Ethical Hacking در قالب آموزش امنیت به صورت آموزش آنلاین و حضوری با بهره گیری از لابراتور آنلاین اختصاصی بهمراه گواهی معتبرارائه می‌شود.

دوره های مرتبط

دوره CASE .NET

دوره CASE .NET

SharePoint یکی از محصولات تحت وب شرکت مایکروسافت است که اولین بار در سال ۲۰۰۱ ارائه شد SharePoint که با مجموعه آفیس مایکروسافت یکپارچه است.

0
تماس با ما
دوره LPT Master

دوره LPT Master

SharePoint یکی از محصولات تحت وب شرکت مایکروسافت است که اولین بار در سال ۲۰۰۱ ارائه شد SharePoint که با مجموعه آفیس مایکروسافت یکپارچه است.

0
تماس با ما
دوره Android Pentest

دوره Android Pentest

SharePoint یکی از محصولات تحت وب شرکت مایکروسافت است که اولین بار در سال ۲۰۰۱ ارائه شد SharePoint که با مجموعه آفیس مایکروسافت یکپارچه است.

0
تماس با ما
دوره F5 Configuring F5 BIG-IP LTM

دوره F5 Configuring F5 BIG-IP LTM

SharePoint یکی از محصولات تحت وب شرکت مایکروسافت است که اولین بار در سال ۲۰۰۱ ارائه شد SharePoint که با مجموعه آفیس مایکروسافت یکپارچه است.

0
3,100,000 تومان

chat_bubble_outlineنظرات

قوانین ثبت دیدگاه

  • دیدگاه های فینگلیش تایید نخواهند شد.
  • دیدگاه های نامرتبط به مطلب تایید نخواهد شد.
  • از درج دیدگاه های تکراری پرهیز نمایید.
  • امتیاز دادن به دوره فقط مخصوص دانشجویان دوره می باشد.

لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد.

قیمت :

1,900,000 تومان

افزودن به علاقه مندی
امتیاز
0 از 0 رأی
بدون امتیاز 0 رای
1,900,000 تومان
تعداد دانشجو : 0
نوع دوره: حضوری (آکادمی دوران)
پیش نیاز: SASN 542
زبان: فارسی
40 ساعت
گواهینامه معتبر دوران آکادمی، گواهی نامه افتا
717 بازدید 0 دیدگاه
گروه مدرسین آکادمی
گروه مدرسین آکادمی
آکادمی دوران

آکادمی دوران تشکیل شده از اساتیدی است که همواره در پروژه های بزرگ مشغول فعالیت هستند.

دسته: SANS، امنیت
اطلاعات تماس
  • خیابان خرمشهر، خیابان صابونچی کوچه ایازی، پلاک 62
  • 02143585 داخلی 266
  • 02143585555
  • academy@douran.com
پیوندهای مهم
  • گالری
  • مجوزها
  • فرم پیش ثبت نام
  • مشتریان
  • فرم درخواست مدرک
  • لابراتوار آنلاین
  • در حال تکمیل ظرفیت
  • سند راهبردی آموزش

تمامی حقوق برای آکادمی دوران محفوظ می باشد.

ورود

رمز عبور را فراموش کرده اید؟

هنوز عضو نشده اید؟ عضویت در سایت