• دوره‌های آموزشی
  • مسیرهای آموزشی
  • خدمات سازمانی
    • خدمات جامع آگاهی‌رسانی امنیت سایبری
    • آموزش سازمانی
      • دوره‌ی امنیت سایبری برای مدیران کسب‌وکار
      • دوره‌ی Open Source Intelligence
      • دوره‌ی‌ فریم‌ورک MITRE ATT&CK
      • دوره‌ی JAVA Secure Coding
    • مشاوره‌ی امنیت سایبری
    • تحقیقات امنیت سایبری
  • دوره‌های رایگان
    • دوره‌ی Security Essentials
    • دوره‌ی Hack With Kali
  • وبلاگ
  • تقویم آموزشی
آکادمی راوینآکادمی راوین
  • دوره‌های آموزشی
  • مسیرهای آموزشی
  • خدمات سازمانی
    • خدمات جامع آگاهی‌رسانی امنیت سایبری
    • آموزش سازمانی
      • دوره‌ی امنیت سایبری برای مدیران کسب‌وکار
      • دوره‌ی Open Source Intelligence
      • دوره‌ی‌ فریم‌ورک MITRE ATT&CK
      • دوره‌ی JAVA Secure Coding
    • مشاوره‌ی امنیت سایبری
    • تحقیقات امنیت سایبری
  • دوره‌های رایگان
    • دوره‌ی Security Essentials
    • دوره‌ی Hack With Kali
  • وبلاگ
  • تقویم آموزشی

دوره‌های امنیت تهاجمی

  • خانه
  • همه دوره ها
  • دوره‌های امنیت تهاجمی
  • API Security Testing

API Security Testing

برنا نعمت‌زاده
برنا نعمت‌زاده
دوره‌های امنیت تهاجمی
46,000,000 ﷼
RAvin site-07
  • بررسی اجمالی
  • مدرس:

درباره‌ی دوره (آنلاین)

بهره‌برداری از API (Application Programming Interface) در تعامل بین نرم‌افزارها و یکپارچه‌سازی آن‌ها مزایای زیادی برای سازمان‌ها به همراه دارد. با استفاده از API، نرم‌افزارهای کاربردی مختلف بدون این‌که نیازی به آگاهی از شیوه‌ی پیاده‌سازی یکدیگر داشته باشند، می‌توانند به راحتی با هم یکپارچه شوند. این مزایا در کنار رشد زیرساخت‌های ابری در سال‌های اخیر، سبب شده تا شرکت‌های نرم‌افزاری و ابری مختلف در سراسر دنیا APIهای متنوعی را با هدف ایجاد امکان تعامل راحت‌تر بین سرویس‌ها و محصولاتشان با سامانه‌های مربوط به مشتریان و شرکای تجاری، پیاده‌سازی کنند. اهمیت این مساله تا جایی است که حتی در برخی از کسب‌وکارها تعداد و قابلیت APIهای موجود در محصولات آن، به‌عنوان یکی از مهم‌ترین مزیت‌های رقابتی آن کسب‌وکار مطرح می‌شود.

APIها در بسیاری از صنایع امروزی کاربرد وسیعی دارند که از بین آن‌ها می‌توان به صنایع خدمات مالی و بانکی، رایانش ابری، IoT، شهرهای هوشمند و موبایل اشاره کرد. در ایران نیز با توجه به رشد استارتاپ‌ها و زیرساخت‌های ابری در سال‌های اخیر، بسیاری از شرکت‌ها محصولات خود را به APIهای مختلف مجهز کرده‌اند. اما یکی از نکات مهمی که شاید کمتر به آن پرداخته می‌شود، امنیت API این محصولات در برابر حملات سایبری است. API در کنار مزایایی که برای افراد و کسب‌وکارها ایجاد می‌کند، تهدیداتی را نیز به همراه دارد و هدف جذابی برای مهاجمین سایبری به حساب می‌آید. نقض ‌شدن امنیت API می‌تواند دسترسی غیر مجاز مهاجمین به داده‌های سازمان یا مشتریان آن، ایجاد اختلال در سرویس‌دهی و بسیاری تبعات دیگر را برای یک کسب‌وکار به دنبال داشته باشد. همین امر سبب گردیده تا شکار آسیب‌پذیری API در برنامه‌های باگ‌بانتی دنیا با استقبال بالایی، هم از سوی کسب‌وکارها و هم از سوی نفوذگران مواجه شود.

در این دوره فرآیند تست و ارزیابی یک API از دید یک شکارچی باگ بررسی می‌شود. در بخش ابتدایی دوره بررسی معماری امنیت API و مفاهیم آن آموزش داده می‌شود. در بخش بعد روش‌های جمع‌آوری اطلاعات و شناسایی برای API به صورت عملی شرح داده خواهد شد، همچنین به صورت اصولی یاد می‌گیرید که چگونه اطلاعات و API Endpointهای مورد نظرتان را استخراج کنید. نهایتا در بخش سوم به بررسی انواع آسیب‌پذیری‌های فنی و منطقی در بستر API و شیوه‌ی شکار و هک آن‌ها پرداخته خواهد شد .

مدت زمان دوره

مدت زمان این دوره ۲۴ ساعت است و به صورت کلاس‌های ۶ ساعته، طی ۴ جلسه به صورت آنلاین، دو روز در هفته، روزهای  پنج‌شنبه‌ و جمعه از ساعت ۱۱:۰۰ تا ۱۷:۰۰ برگزار می‌شود. تاریخ شروع این دوره از پنج‌شنبه ۲۷ مرداد ماه خواهد بود.

تخفیف ثبت‌نام زودهنگام

بلیط ثبت‌نام زودهنگام، بدون نیاز به وارد کردن کد تخفیف، در صفحه‌ی ثبت‌نام دوره در پلتفرم ایوند تعریف شده است.

گواهینامه‌ی دوره

برای دریافت گواهینامه‌ی این دوره، ده روز پس از جلسه‌ی پایانی، آزمونی برگزار خواهد شد که با قبولی در این آزمون، امکان صدور گواهینامه‌ی دوره برای شما را خواهیم داشت. حضور در آزمون پایانی و دریافت گواهینامه‌ی دوره برای شرکت‌کنندگان اختیاری است.

هزینه‌ی شرکت در آزمون پایانی: ۳۰ هزارتومان
هزینه‌ی چاپ و صدور گواهینامه‌ی دوره: ۵۰ هزارتومان

این دوره به چه افرادی توصیه می‌شود؟

  • کارشناسان ارزیابی امنیت و تست نفوذ
  • کارشناسان امنیت سایبری در سازمان‌ها و شرکت‌ها
  • کارشناسان فعال در زمینه‌ی Bug Bounty

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

  • آشنایی با مفاهیم توسعه‌ی وب و API
  • آشنایی با آسیب پذیری‌های رایج وب
  • حداقل یک سال تجربه‌ی کاری در زمینه‌ی تست نفوذ وب

سرفصل‌های دوره

Chapter 1: Web APIs

1.1 Introduction to Web APIs

1.2 API Styles

1.2.1 Resource-oriented

1.2.1.1 REST APIs from a Developer’s Perspective

1.2.1.2 REST APIs from a Hacker’s Perspective

1.2.2 Function-oriented

1.2.2.1 RPC & gRPC Styles

1.2.3 Data-oriented

1.2.3.1 GraphQL vs REST

1.2.3.2 GraphQL Architecture

1.3 Internal & External APIs

1.3.1 Logger++ Filters

1.3.2 API Prioritization

Chapter 2: API Recon

2.1 Recon Methodology for API

2.2 API Endpoints Enumeration

2.2.1 API Documentation

2.2.2 Public vs Hidden API Endpoints

2.2.2.1 Public API Endpoints Enumeration

2.2.2.2 Hidden API Endpoints Enumeration

2.2.2.3 Fuzzing for Hidden API Endpoints

2.2.2.4 Fuzzing for GraphQL Object Types

2.3 API Attack Surface Analysis

Chapter 3: API Bugs

3.1 Excessive Data Exposure

3.1.1 Hunting for Data Exposure

3.1.2 Automating Burp to Find Data Exposure

3.1.3 False Positives

3.2 Mass Assignment

3.2.1 Mass Assignment in NodeJS & Rails

3.2.2 Hunting for Mass Assignment Vulnerabilities

3.2.3 Bypass Security Controls

3.3 Broken Object Level Authorization

3.3.1 Hunting for IDORs

3.3.2 Automating Burp to Find IDORs

3.4 Broken Function Level Authorization

3.4.1 Vertical vs Horizontal Access Control

3.4.2 Unprotected API Endpoints

3.4.3 Hunting for Broken Function Level

3.4.4 Automating Burp to Find Broken Function Level Bugs

3.5 Broken Authentication

3.5.1 Token-Based Authentication

3.5.2 JWT Attack Scenarios

3.5.2.1 Basic Cryptography for Bug Hunter

3.5.2.2 JWT Common Attack Scenarios

3.5.2.3 JWT Advanced Attack Scenarios

3.6 Lack of Resources & Rate Limiting

3.6.1 Exploiting Response Limit

3.6.2 Exploiting Request Rate

3.6.3 Bypass Techniques for Request Rate

3.7 Security Misconfiguration

3.8 Injection-Based Attacks

3.8.1 SQL, NOSQL 

3.8.2 XXE Injection

3.8.3 OS Command Injection

3.9 GraphQL

3.9.1 GraphQL Schema

3.9.2 GraphQL Object Types

3.9.3 GraphQL Queries

3.9.4 GraphQL Mutations

3.9.5 GraphQL Subscriptions

3.9.6 GraphQL Recon & Introspection Query

3.9.7 Fuzzing for Object Types

3.9.8 GraphQL Vulnerabilities

3.9.8.1 Injection-Based Attack Scenarios

3.9.8.2 Request-Forgery Attack Scenarios

3.9.8.3 Nested Queries & DOS

3.9.8.4 Node-Based & Edge-Based Access Control

3.9.8.5 Mutation-Based Attacks

ویژگی های دوره

  • درس 3
  • آزمونها 0
  • مدت زمان 24 ساعت
  • سطح مهارت متوسط
  • زبان فارسی و انگلیسی
  • دانشجویان 17
  • گواهی نامه بله
  • ارزیابی بله
برنا نعمت‌زاده
برنا نعمت‌زاده
    محقق امنیتی اپلیکیشن‌های تحت وب
    • بررسی اجمالی
    • مدرس:
    46,000,000 ﷼
    • اشتراک گذاری:

    شما ممکن است دوست داشته باشید

    مبانی امنیت زیرساخت‌های صنعتی مشاهده
    دکتر محمدمهدی احمدیان
    دکتر محمدمهدی احمدیان

    مبانی امنیت زیرساخت‌های صنعتی

    0
    70,000,000 ﷼
    Purple Team مشاهده
    مهدی حاتمی
    مهدی حاتمی

    Purple Team

    0
    90,000,000 ﷼
    Cisco Ise Device Administration and NAC مشاهده
    محمدامین کمالی
    محمدامین کمالی

    Cisco Ise Device Administration and NAC

    0
    40,000,000 ﷼
    Web3 & Smart Contract Programming مشاهده
    برنا نعمت‌زاده
    برنا نعمت‌زاده

    Web3 & Smart Contract Programming

    0
    90,000,000 ﷼
    Windows Log Analysis مشاهده
    مهدی میرسلطانی
    مهدی میرسلطانی

    Windows Log Analysis

    0
    20,000,000 ﷼

      2 نظر

    1. Avatar
      حسام
      جولای 3, 2022
      پاسخ

      با سلام و عرض ادب و احترام
      می خواستم در صورتی که کلاس تست API در حال برگذاری بود بهم اطلاع داده بشه.
      ممنونم

      • ravinacademy
        ravinacademy
        جولای 25, 2022
        پاسخ

        سلام وقت بخیر. اطلاع‌رسانی انجام شد.

    نظر بدهید لغو پاسخ

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    منابع

    • مسیرهای آموزشی
    • پرسش‌های رایج
    • تخفیف‌ها
    • وبینارها
    • پخش زنده
    • کتابچه
    • هکرهای دوست‌ داشتنی

    همکاری با ما

    • تدریس در آکادمی راوین
    • همکاری در تولید محتوا
    • استخدام

    خدمات سازمانی

    • آموزش سازمانی
    • مشاوره‌ی امنیت سایبری
    • تحقیقات امنیت سایبری

    آکادمی راوین

    • خانه
    • درباره‌ی ما
    • تماس با ما

        

    info@ravinacademy.com
    Twitter
    Telegram
    Linkedin
    Instagram
    Github

    تمام حقوق این وب سایت به آکادمی راوین تعلق دارد.

    Modal title

    Message modal