JavaScript Security
JavaScript Security
پس از پرداخت اطلاعات به ایمیل شما ارسال خواهد شد
- متوسط
- مسیر قرمز
- ۸ درس
دربارهی این دوره
JavaScript یکی از پرکاربردترین زبانهای برنامهنویسی در سامانههای تحتوب است و کاربردهای وسیعی در پروژههای مختلف Front-End ،Back-End و Full-Stack میتوان برای آن بر شمرد. این زبان همچنین، بهترین زبان شناختهشده برای پیادهسازی بخشهای مختلف سمت کاربر است. سطح عمومیت JavaScript در وبسایتها، اهمیت ارزیابی کدهای نوشتهشده توسط این زبان برنامهنویسی در راستای حفظ امنیت سامانههای آنلاین را بسیار بالا برده است.
از طرفی شکارچیان باگ نیز توجه ویژهای به آسیبپذیریهای ناشی از پیادهسازی نادرست JavaScript دارند. در واقع علاوهبر آسیبپذیریهایی که امکان دارد بهصورت مستقیم و بهدلیل پیادهسازی نادرست بخشهای مختلف یک وبسایت با استفاده از این زبان به وجود آید، شکارچیان باگ میتوانند با بهرهبرداری از ترکیب دانش خود از JavaScript با سایر آسیبپذیریهای مرتبط، مانند XSS، به آسیبپذیریهای با سطح بالاتر دست پیدا کرده و در نتیجه جوایز بیشتری دریافت کنند. به همین دلیل است که خبرگان امنیت سایبری اعتقاد دارند دانش تست نفوذ یا هک بدون وجود دانش برنامهنویسی، هیچگاه شما را به یک هکر یا شکارچی تمامعیار تبدیل نخواهد کرد.
شما با شرکت در این دوره به مباحث زیر تسلط پیدا میکنید:
- ساختار کلی زبان جاوااسکریپت
- ساختار مرورگرهای وب
- باگهای سمت کاربر
مدتزمان این دوره ۳۰ ساعت است که طی ۵ جلسهی ۶ساعته، پنجشنبه و جمعهی هر هفته از ساعت ۱۰:۰۰ تا ۱۶:۰۰، بهصورت آنلاین برگزار خواهد شد. شروع این دوره از روز پنجشنبه ۲۷ اردیبهشت ۱۴۰۳ خواهد بود.
این دوره به چه افرادی توصیه میشود؟
- کارشناسان ارزیابی امنیت / تست نفوذ / تیم قرمز
- متخصصان فعال در زمینهی Bug Bounty
- مشاوران امنیت سایبری
- برنامهنویسان وب (Front-End و Back-End)
برای حضور در این دوره چه دانشهایی باید داشته باشم؟
- آشنایی با مفاهیم امنیت وب
- آشنایی با یک زبان برنامهنویسی
- آشنایی با حملههای سایبری پرکاربرد در زمینهی وب
سرفصلهای دوره
-
JS Fundamentals
-
JS Basics
-
JS Environments
-
Parsing JavaScript
-
Variables
-
Data Types & Operators
-
Control Flow & Loops
-
Working with Reference Types
-
Prototypes
-
Introduction to ES6
-
Encodings
-
-
Runtime Environments & Frameworks
-
NodeJS
-
AngularJS
-
VueJS
-
ElectronJS
-
-
-
Browser Under the Hood
-
Document Object Model
-
DOM Tree
-
DOM Manipulation
-
Event Handlers
-
-
Web APIs
-
Event Loop & Execution Flow
-
Asynchronous JavaScript
-
Task Queue
-
Callbacks
-
-
Cross-Window Messaging
-
Debugging in the Browser
-
Browser Security Mechanisms
-
-
JS Recon
-
JS Files Use Cases
-
JS Files Enumeration
-
Static Analysis of JS Files
-
Identifying the Endpoints & Extend the Attack Surface
-
Identifying the Sensitive Tokens
-
Identifying the Vulnerable Components
-
Identifying the Unclaimed Dependencies
-
Identifying the Sources & Sinks
-
-
-
XSS & CSRF
-
CSRF
-
Root Cause
-
Detection & Exploitation Techniques
-
-
XSS
-
Reflected XSS (RXSS)
-
Stored XSS
-
Blind XSS
-
Self-XSS
-
DOM XSS
-
Client-Side Race Condition to DOM XSS
-
DOM Clobbering
-
Mutation XSS
-
Server-Side XSS (PDF Generators)
-
XSS to RCE in Electron Apps
-
CSP Bypass
-
Hunting Methodology
-
-
-
Client-Side Template Injection
-
Root Cause
-
CSTI in AngularJS
-
CSTI in VueJS
-
Hunting Methodology
-
-
Prototype Pollution
-
Root Cause
-
Prototype Pollution to DOM XSS
-
Prototype Pollution to RCE
-
Hunting Methodology
-
-
Cross-Origin Attacks
-
CORS Misconfiguration
-
Detection & Exploitation Techniques
-
Hunting Methodology
-
-
postMessage Attack Scenarios
-
postMessage to DOM XSS
-
postMessage to Information Disclosure
-
postMessage Chaining Scenarios
-
Hunting Methodology
-
-
Insecure JSONP Calls
-
Detection & Exploitation Techniques
-
JSONP Chaining Scenarios
-
Hunting Methodology
-
-
-
Server-Side JavaScript Injection
-
Root Cause
-
Detection & Exploitation Techniques
-
Developing a Custom WebShell
-