توضیحات
تست نفوذ وب، یک حمله سایبری شبیه سازی شده علیه سیستم رایانهای شما برای بررسی آسیب پذیریهای قابل بهره برداری است. تست نفوذ بیشتر برای کاربردهای دنیای وب استفاده میشود. برنامههای تحت وب در هر سازمانی نقش مهم و حیاتی دارند.اگر سازمان شما برنامههای تحت وب خود را به درستی آزمایش و ایمن نکند، نفوذگران می توانند این برنامهها را به خطر بیندازند و به عملکرد تجاری آن سازمان آسیب بزنند.
با گذشت زمان، برنامههای وب پیچیدهتر میشوند. این موضوع اغلب به دلیل افزایش قابلیتهای کسب و کار ارائه شده در برنامههای تحت وب میباشد. همانطور که به سمت عملکرد و فرآیندهای کسب و کار بیشتر حرکت میکنیم، تست برنامه نیز دشوارتر خواهد شد. برای تحقق این امر، ما شاهد رویکردهای جدیدی برای توسعه برنامههای وب هستیم. این بدان معنی است که ما به عنوان یک تست نفوذگر باید این پیچیدگی و فناوریهای پیرامون آن را درک کنیم.
ارزیابی امنیتی نرم افزار های تحت وب را میتوان یافتن هرگونه نقطه ضعف، آسیبپذیری، ایراد فنی و ارائه گزارش کاملی از این آسیبپذیریها و آثار آن دانست. بعد از آن هم ارائه طرحهای پیشنهادی برای برطرف نمودن این نقاط آسیبپذیری. اگر سازمانی نسبت به امنیت وب اپلیکیشنها خود بیتوجه باشد خودش را در معرض آسیبپذیری و حملات موفقیت آمیز مهاجمان قرار داده که بعد از آن برای جبران خسارت وارده بایستی چندین برابر هزینهی لازم برای تست نفوذ وب اپلیکیشنها را برای رویارویی با این حملات بپردازد.
دوره ارزیابی امنیتی نرم افزار های تحت وب بر طبق جدیدترین متدها و بر اساس استانداردهای بینالمللی و به صورت سناریو محور و عملی توسط اساتید مجرب این حوضه تدریس می شود.
مدت زمان دوره
مدت زمان این دوره 30 ساعت و در طی 8 جلسه 3:30 دقیقه ای تدریس میشود شروع این دوره از تاریخ 22 دی ماه 1400 و آخرین جلسه آن 23 بهمن ماه 1400 است.
پیش نیاز دوره
- آشنایی با یکی از زبان های برنامه نویسی وب
- آشنایی با زبان های برنامه نویسی سمت کاربر همانند جاوا اسکریپ و HTML
- آشنایی با پروتکل های ارتباطی وب
مخاطبین
- افراد علاقمند به تست نفوذ برنامه های تحت وب
- برنامه نویسان تحت وب
- کارشناسان امنیت وب
- کارشناسان امنیت سازمان های دولتی و خصوصی
سر فصل های دوره
بخش اول: جمع آوری اطلاعات و بازدید مقدماتی برنامه های وب
ساختار برنامه های وب
تکنولوژی های وب
بررسی اطلاعات وب سرور و برنامه های وب
بررسی وب سرویس ها
بررسی فریم ورک ها و سیستم های مدیریت محتوا
بررسی اولیه مکانیزم های امنیتی
رسم نقشه شبکه براساس اطلاعات بالا
بررسی Web Socket
بخش دوم: بررسی حملات کلاینت
آسیب پذیری های مربوط به HTML5 و CSS
بای پس کنترل های جاوا اسکریپت
Cross site Scripting (xss)
CSRF
بخش سوم: حملات سمت سرور
SQL Injection
Command Injection
Code Execution
LDAP Injection
ORM Injection
XXE
بخش چهارم: احراز هویت و کنترل دسترسی ها
بررسی مکانیزم های امنیتی و ورود کاربران
بررسی مشکلات مربوط به نشست کاربران
بررسی آسیب پذیری های مربوط به سطح دسترسی (IDOR)
دور زدن Captcha
تغییر سطح دسترسی کاربران
بارگذاری فایل های مخرب (Shell Upload)
دسترسی به فایل های سیستم عامل (File Include)
بخش پنجم: وب سرویس
آشنایی با تکنولوژی های وب سرویس
بررسی آسیب پذیری های SOAP
بررسی آسیب پذیری های REST
بررسی آسیب پذیری های GRAPHQL
آموزش ابزار SOAPUL
تست API
بخش ششم: تست AJAX
XML
JSON
HTML
Call back Pentest
سوالات متداول
کل رویدادها
شرکت تریداتس توسط گروهی از متخصصین و کارشناسان حوزه امنیت و توسعه نرم افزار در سال 1395 تاسیس گردید. این شرکت به عنوان ا...
