OWASP Top 10 Web Application Vulnerabilities
دربارهی دوره
سالهاست که بهره برداری از سرویسهای تحت وب آسیبپذیر، یکی از جذابترین روشهای موجود بین مهاجمین سایبری برای نفوذ به زیرساخت سازمانها یا ایجاد اختلال در کسبوکار آنها است. همین نکته سبب شده است تا ارزیابی امنیت سرویسهای تحت وب یکی از مهمترین اجزای ارزیابی امنیت و در بسیاری از موارد، پرکاربردترین نوع ارزیابی امنیت باشد که سازمانها به آن اقبال ویژهای داشته و به شکلهای مختلف مانند پروژههای تست نفوذ، باگبانتی، خدمات تیم قرمز و غیره از آن بهره میبرند.
در این دوره، OWASP Top 10 و حملات رایج در سطح وب به صورت مفهومی و عملی مورد بررسی قرار میگیرد. در ابتدای دوره، به مفاهیم وب، ساختار اپلیکیشنهای مدرن و جمع آوری اطلاعات پرداخته میشود و در ادامه آسیبپذیریهای رایج وب به صورت کاربردی مورد بررسی قرار خواهد گرفت تا در انتهای دوره دانشجویان به درک خوبی از این آسیبپذیریها و شیوهی اکسپلویت و بهرهبرداری از آنها برسند.
از ویژگیهای خاص این دوره، میتوان به فرآیند محور بودن (فرآیند ارزیابی را به طور کامل پوشش میدهد)، آموزش عملی و بهرهبرداری از دانش روز در زمینهی حملات تحت وب اشاره کرد.
مدت زمان دوره
مدت زمان این دوره ۳۹ ساعت است که طی ۱۳ جلسهی ۳ ساعته، شنبه و سهشنبهی هر هفته از ساعت ۱۷:۳۰ الی ۲۰:۳۰، به صورت آنلاین برگزار خواهد شد. شروع این دوره از روز سهشنبه ۲۷ اردیبهشت ماه خواهد بود.
تخفیف ثبتنام زودهنگام
بلیط ثبتنام زودهنگام، بدون نیاز به وارد کردن کد تخفیف، در صفحهی ثبتنام دوره در پلتفرم ایوند تعریف شده است.
این دوره به چه افرادی توصیه میشود؟
- کارشناسان ارزیابی امنیت/تست نفوذ/تیم قرمز
- متخصصین فعال در زمینهی Bug Bounty
- مشاورین امنیت سایبری
- برنامهنویسان وب (Front-End و Back-End)
برای حضور در این دوره چه دانشهایی باید داشته باشم؟
- آشنایی با مفاهیم امنیت وب
- آشنایی ابتدایی با زبان جاوا اسکریپت
- آشنایی با پروتکلهای پرکاربرد در وب
سرفصلهای دوره
Chapter 1: Web Fundamentals
1.1 Web Protocols
1.2 Web Application Architecture
1.3 Web Authentication Mechanisms
1.3.1 Traditional
1.3.2 Modern
1.3.2.1 Token-Based Authentication
1.3.2.2 Introduction to OAuth & SSO
1.4 Web Security tools & Methodologies
1.4.1 OWASP WSTG
1.4.2 Zap proxy
1.4.3 Burp Suite
1.4.4 Internal Reconnaissance
Chapter 2: Injection
2.1 SQL Injection
2.2 Code injection
2.3 OS Command Injection
Chapter 3: Identification and Authentication Failures
3.1 Single-Factor Authentication
3.2 2FA Authentication
3.3 Types of Broken Authentication Vulnerabilities
Chapter 4: Sensitive Data Exposure
Chapter 5: XXE Injection
5.1 XML Basics
5.2 Discovery Phase
5.3 XXE Injection Attack Scenarios
Chapter 6: Broken Access Control
6.1 Vertical Access Control
6.2 Horizontal Access Control
Chapter 7: Security Misconfigurations
7.1 Default Configurations
7.2 Unprotected Files and Directories
7.3 Unpatched Flaws
Chapter 8: Client-Side Attacks
8.1 JavaScript Basics for Web Pentester
8.2 Cross-Site Scripting (XSS)
8.3 Open Redirect to XSS
8.4 Cross-Site Request Forgery
8.5 CORS Misconfiguration
8.6 Clickjacking
Chapter 9: Insecure Deserialization
9.1 PHP deserialization
9.2 Node.js deserialization
Chapter 10: Vulnerable and Outdated Components
Chapter 11: Insufficient Logging and Monitoring
Chapter 12: Server-Side-Request-Forgery (SSRF)
12.1 SSRF Concepts
12.2 Discovery
12.3 Exploit
Chapter13: Insecure Design
ویژگی های دوره
- درس 13
- آزمونها 1
- مدت زمان 39 ساعت
- سطح مهارت متوسط
- زبان فارسی و انگلیسی
- دانشجویان 20
- گواهی نامه بله
- ارزیابی بله
