OWASP Top 10 Web Application Vulnerabilities

عرفان باقری‌اول
عرفان باقری‌اول
  • متوسط
  • مسیر قرمز
    •
  • ۱۵ درس
۵,۹۰۰,۰۰۰ تومان
ثبت‌نام اقساطی
طول دوره
۳۰ساعت
گواهی‌نامه و آزمون
دارد
نوع برگزاری
آفلاین
ثبت‌نام سازمانی این دوره

دربارۀ این دوره

در دنیایی که هر ثانیه، میلیون‌ها درخواست در بستر وب جابه‌جا می‌شود، امنیت وب به حیاتی‌ترین ضرورت سازمان‌ها تبدیل شده است؛ ضرورتی که به متخصصانی وابسته است که فراتر از ابزارها، منطق حمله و دفاع را درک کنند. این دورۀ حرفه‌ای دقیقاً برای تربیت همین متخصصان طراحی شده است؛ افرادی که توانایی تحلیل، شکار، شناسایی و مقابله با پیچیده‌ترین حمله‌ها را در هر مقیاسی دارند.
در این مسیر آموزشی، فراگیر یاد می‌گیرد چگونه مانند یک هکر حرفه‌ای فکر کند، ساختارهای پنهان یک وب‌اپلیکیشن را ببیند و همان نقاط حساسی را شناسایی کند که مهاجمان واقعی هدف قرار می‌دهند. سرفصل‌ها از مبانی شبکه، HTTP ،DNS و SSL/TLS آغاز می‌شود و با بررسی عمیق‌ترین حمله‌های OWASP Top 10، تا سناریوهای واقعی اکسپلویت و دفاع ادامه پیدا می‌کند.

 

در این دوره، نه‌تنها آسیب‌پذیری‌ها را شناسایی می‌کنید، بلکه می‌آموزید چگونه از همان نقطه‌ضعف برای طراحی دفاع‌های حرفه‌ای استفاده کنید. تمرکز اصلی دوره، بر مهارتی است که بازار کار، بیش از هر زمان دیگری به آن نیاز دارد: توانایی تحلیل امنیت وب در سطح عملیاتی و واقعی. دانشجویان، به‌صورت کاملاً عملی با SQLi ،XSS ،IDOR ،SSRF ،Authentication Flaws ،Misconfiguration و ده‌ها تکنیک مهم دیگر کار می‌کنند. پیاده‌سازی سناریوهای واقعی، تحلیل ترافیک، تست نفوذ و بررسی معماری‌های مدرن وب، شما را به یک کارشناس تست و نفوذ تبدیل می‌کند.

 

مطالب این دوره، در قالب ۳۰ ساعت محتوای ویدیویی در اختیار شما قرار خواهد گرفت. در کنار ویدیوها، گروه تلگرامی برای ارتباط مستقیم با دانشجویان دوره و مدرس و همچنین جلسات آنلاین پشتیبانی و رفع‌اشکال خواهید داشت. به‌محض ثبت‌نام، تمام ویدیوهای آموزشی دوره، در اختیارتان قرار خواهد گرفت.

 

این دوره، بازۀ زمانی برای شروع و پایان ندارد و در تمام سال، امکان خرید و پیوستن به گروه پشتیبانی را خواهید داشت.

 

می‌توانید با استفاده از شرایط اقساطی آکادمی راوین،‌ پرداخت دو قسط در دو ماه مختلف، در این دوره ثبت‌نام کنید.

مخاطبان

  • کارشناسان تست نفوذ وب
  • برنامه‌نویسان علاقه‌مند به امنیت وب
  • کارشناسان مراکز عملیات امنیت سطح ۱ و ۲
  • کارشناسان پاسخ به رخداد

پیش‌نیازها

  • +Network
  • +Security
  • HTTP Protocol
  • Introduction to Web Security

سرفصل‌ها

  • Introduction and Overview
    • Introduction and Overview of OWASP
    • Importance of Web Application Security
    • OWASP Top 10 Overview
  • Web Fundamentals & Browser Security
    • An Overview of the HTTP Protocol
    • HTTP Requests, Responses and Headers
    • HTTP Methods and Response Codes
    • An Overview of the SSL Protocol
    • An Overview of the DNS Protocol
    • Same-Origin Policy & CORS
  • Authentication
    • Identification, Authentication, Authorization
    • Authentication Mechanisms
      • Password-based Authentication
      • Token-based Authentication (Sessions, JWT)
      • Single Sign-On (SSO) with OAuth2 / SAML
      • Passwordless (Magic Links)
    • Application Architectures & Authentication
      • Legacy Web Applications
      • Single Page Applications (SPA)
      • Mobile Applications
      • Microservices and API-driven Apps
  • Introduction to JavaScript for Security
    • JavaScript Basics Refresher
    • DOM & Browser Interaction
    • JavaScript for Scanning
    • Exploitation Basics with JavaScript
    • Advanced Security Snippets
  • Web Application Reconnaissance
    • Introduction to Reconnaissance
    • Information Gathering – Passive Recon
    • Infrastructure & Network Footprinting
    • Application Mapping
    • Account & Authentication Recon
    • API Reconnaissance
    • Advanced Recon Techniques
    • Automation in Recon
  • A01:2021 – Broken Access Control (Common Vulnerabilities)
    • IDOR (Insecure Direct Object Reference)
    • Privilege Escalation (Horizontal & Vertical)
    • Bypassing Access Control Checks
  • A02:2021 – Cryptographic Failures (Sensitive Data Exposure)
    • Using Weak or Deprecated Algorithms (MD5, SHA1, DES, RC4)
    • Hardcoded Keys, Passwords, or Secrets
    • Lack of Encryption for Data at Rest
  • A03:2021 – Injection
    • SQL Injection (Classic, Union-based, Blind, Time-based) / NoSQL Injection (MongoDB, CouchDB)
    • RCE & OS Command Injection
    • XML Injection (XXE – XML External Entities)
    • XSS & Prototype Pollution
  • A04:2021 – Insecure Design
    • Unvalidated Redirects & Forwards
    • Missing or Weak Access Control Flows
    • WebShell Upload
  • A05:2021 – Security Misconfiguration
    • Exposed Admin Interfaces
    • Directory Listing Enabled
    • Verbose Error Messages
    • Default Accounts & Credentials
    • Unpatched or Outdated Systems
  • A06:2021 – Vulnerable and Outdated Components
    • Outdated Server Software (Apache, Nginx, IIS, Tomcat)
    • Unpatched CMS Platforms (WordPress, Joomla, Drupal with vulnerable plugins/themes)
    • Using Outdated Frameworks (e.g., old versions of Spring, Struts, Laravel, Django)
  • A07:2021 – Identification and Authentication Failures
    • Improper JWT Handling
    • Weak Password Recovery Mechanisms
    • Session Fixation & Predictable Session IDs
  • A08:2021 – Software and Data Integrity Failures
    • Insecure Deserialization
    • Unsigned or Unverified Software Updates
    • Tampering with Config/Serialized Data
    • Insecure CI/CD Pipelines
  • A09:2021 – Security Logging and Monitoring Failures
    • Insufficient Log Detail (missing user, IP, timestamp, event type)
  • A10:2021 – Server-Side Request Forgery (SSRF)
    • Bypassing Whitelists (using alternate encodings, DNS rebinding, 127.0.0.1 variations)
    • SSRF via File Uploads (image URL fetchers, PDF generators, etc.)
    • Blind SSRF (no direct response, detect via DNS/logs)
    • SSRF to Exploit Protocols Beyond HTTP (gopher://, ftp://, file://)
    • SSRF Leading to Remote Code Execution (via internal admin panels, Redis, Elastic-search) [Bonus]

گواهینامه‌ی دوره

گواهی‌نامه

دوره های مشابه

دیدگاه‌ها

اولین نفری باشید که دیدگاه خود را ثبت می‌کنید.