Web Hacking Professional
دربارهی دوره (آنلاین)
سالهاست که بهرهبرداری از سرویسهای تحت وب آسیبپذیر، یکی از جذابترین روشهای موجود بین مهاجمین سایبری برای نفوذ به زیرساخت سازمانها یا ایجاد اختلال در کسبوکار آنها است. همین نکته سبب شده است تا ارزیابی امنیت سرویسهای تحت وب یکی از مهمترین اجزای ارزیابی امنیت و در بسیاری از موارد، پرکاربردترین نوع ارزیابی امنیت باشد که سازمانها به آن اقبال ویژهای داشته و به شکلهای مختلف مانند پروژههای تست نفوذ، باگبانتی، خدمات تیم قرمز و غیره از آن بهره میبرند.
با توجه به اهمیت این موضوع، موسسههای آموزشی مختلف در سراسر دنیا با ارایهی دورههای آموزشی متنوع، به آموزش متخصصین امنیت وب پرداختهاند. آکادمی راوین نیز همگام با آخرین دانش سایبری روز دنیا اقدام به طراحی مسیرهای آموزشی خود در زمینههای مختلف امنیت سایبری کرده است. یکی از این مسیرها، مسیر آموزش تخصصی «هک وب و موبایل» میباشد که در سه سطح پایه، پیشرفته و خبره طراحی و ارایه شده است. دورهی «Web Hacking Professional»، سطح پیشرفته، نیز در این مسیر قرار دارد.
مدت زمان دوره
مدت زمان این دوره ۳۶ ساعت است که طی ۶ جلسهی ۶ ساعته، پنجشنبه و جمعهی هر هفته از ساعت ۱۰:۰۰ الی ۱۶:۰۰، به صورت آنلاین برگزار خواهد شد. شروع این دوره از روز پنجشنبه ۲۷ بهمن ماه خواهد بود.
تخفیف ثبتنام زودهنگام
بلیط ثبتنام زودهنگام، بدون نیاز به وارد کردن کد تخفیف، در صفحهی ثبتنام دوره در پلتفرم ایوند تعریف شده است.
میزان تخفیف | فرصت ثبتنام | قیمت ثبتنام | ۲۰ درصد | تا پنجشنبه ۲۰ بهمن | ۳,۶۰۰,۰۰۰ تومان |
|---|
گواهینامهی دوره
برای دریافت گواهینامهی این دوره، ده روز پس از جلسهی پایانی، آزمونی برگزار خواهد شد که با قبولی در این آزمون، امکان صدور گواهینامهی دوره برای شما را خواهیم داشت. حضور در آزمون پایانی و دریافت گواهینامهی دوره برای شرکتکنندگان اختیاری است.
هزینهی چاپ و صدور گواهینامهی دوره: ۵۰ هزارتومان
این دوره به چه افرادی توصیه میشود؟
- کارشناسان ارزیابی امنیت/تست نفوذ/تیم قرمز
- متخصصین فعال در زمینهی Bug Bounty
- مشاورین امنیت سایبری
برای حضور در این دوره چه دانشهایی باید داشته باشم؟
از آنجایی که این دوره در سطح پیشرفته برگزار میشود، مباحث پایهای در آن مطرح نخواهد شد. بنابر این توصیه میشود تا شرکتکنندگان قبل از حضور در این دوره، حداقل یک دورهی پایه در زمینههای مرتبط (مانند دورهی پایهی «هک وب و موبایل» یا دورهی «مبانی هک کلاهسفید» در آکادمی راوین) را گذرانده باشند. مهمترین پیشنیازهای دانشی و تجربی برای حضور در این دوره به شرح زیر است:
- آشنایی با سرفصلهای دورهی «OWASP Top 10 WebApplication Vulnerabilities»
- حداقل یک سال تجربهی کاری در زمینهی امنیت سایبری و تست نفوذ
- آشنایی با یک زبان برنامهنویسی سمت سرور
- آشنایی با Burp Suite
سرفصلهای این دوره
Chapter 1: Introduction to Bug Bounty Hunting
1.1 Introduction to Bug Bounty Hunting
1.2 Bug Bounty Hunting Platforms
1.3 Bug Bounty Payout Methods
1.4 Choosing Your Bug Bounty Program
1.5 Course Deliverables
Chapter 2: Recon for Bug Bounty Hunting
2.1 Reconnaissance Goals
2.2 Types of Reconnaissance
2.3 External Reconnaissance
2.3.1 Target’s Scope
2.3.2 External Reconnaissance Methodology
2.3.3 Designing a Recon Workflow
2.3.4 Using Bash for Automation
2.4 Internal Reconnaissance
2.4.1 Mapping the Visible Content
2.4.2 Mapping the Hidden Content
2.5 Formulate a Plan of Attack
2.5.1 Attack Surface Analysis
2.5.1.1 Visible Attack Surface
2.5.1.2 Hidden Attack Surface
2.5.2 Which Functionalities are Important?
2.5.3 Prioritizing the Functionalities
2.6 Use GitHub for recon
Chapter 3: Hunting for Technical Vulnerabilities
3.1 Technical vs Logical Vulnerabilities
3.2 SQL Injection
3.2.1 Secound Order
3.2.2 Out of band
3.2.3 sql injection technique for bug bounty
3.3 Cross-Site Scripting (XSS)
3.3.1 Types of XSS
3.3.2 Attack Surface Analysis for Reflected & Stored XSS
3.3.2.1 Stored-XSS vs Self-XSS
3.3.2.2 Self-XSS to Good XSS
3.3.2.3 Open Redirect to XSS
3.3.2.4 Blind XSS
3.3.3 Hunting Methodology for XSS in Real World Applications
3.4 CORS & Cross-Site Request Forgery (CSRF)
3.4.1 CSRF
3.4.1.1 Attack Surface Analysis for CSRF
3.4.1.2 Hunting for CSRF
3.4.2 CORS Misconfiguration
3.5 Server-Side Request Forgery (SSRF)
3.5.1 SSRF Overview
3.5.2 Attack Surface Analysis for SSRF
3.5.3 Exploiting the Parser Logic
3.5.4 Blind SSRF
3.6 Command Execution Attacks
3.6.1 Attack Surfaces Analysis for RCE
3.6.2 Fuzzing for Vulnerable Inputs
3.6.3 Blind RCE
3.6.4 Vulnerable Services
3.6.5 Wildcards
3.7 File & Resource Attacks
3.7.1 LFI Overview
3.7.2 Attack Surface Analysis for LFI
3.7.3 Hunting for LFI
3.7.4 LFI & SSRF in File Converters
3.7.5 LFI to RCE
3.7.6 File Upload Functionality Overview
3.7.7 Hunting for File Upload Vulnerabilities
3.8 Core Mechanisms Attacks
3.8.1 Authentication Components
3.8.1.1 Reset Password Functionality Attack Scenarios
3.8.1.2 Attacking 2FA
3.8.1.3 Attacking MFA
3.8.2 Session Management Attacks
3.8.2.1 Session Fixation
3.8.2.2 Session Overloading
Chapter 4: Hunting for Logical Vulnerabilities
4.1 Introduction to Logical Vulnerabilities
4.2 Application’s Flow
4.3 Attacking the Access Control Mechanism
4.3.1 Vertical Access Control Issues
4.3.2 Horizontal Access Control Issues
4.3.3 Insecure Direct Object Reference (IDOR)
4.3.3.1 IDOR Overview
4.3.3.2 Attack Surface Analysis for IDOR
4.3.3.3 Hunting for IDORs
4.3.4 Attacking Multi-Step Functionalities
4.4 Race Condition
4.4.1 Attack Surface Analysis for RC
4.4.2 Hunting for Race Condition
Chapter 5: Api penetration testing
5.1 Introduction to Api
5.2 Api vulnerabilities
5.2.1 Excessive data exposure
5.2.2 Mass assignment
5.2.3 Broken object level authorization
5.2.4 broken function level authorization
5.2.5 broken authentication
Chapter 6: Modern Concepts & Attacks OverView
6.1 Docker attacks
6.2 Cloud Attacks
6.3 git attacks
6.4 Automation for Open Source targets
Chapter 7: Well-Written Report
ویژگی های دوره
- درس 7
- آزمونها 1
- مدت زمان 36 ساعت
- سطح مهارت پیشرفته
- زبان فارسی/انگلیسی
- دانشجویان 18
- گواهی نامه بله
- ارزیابی بله
6 نظر
سلام وقتتون بخیر
فایل این دوره پس از برگزاری برای دانلود قرار خواهد گرفت؟؟؟
و اینکه امکانش نیست دوره به صورت مجازی برگزار شود؟؟؟ چون من دوره جناب نعمت زاده رو دیدم و واقعا علاقه مندم هر طور شده دوره های ایشون ببینم.
سلام نوید عزیز
این دوره به صورت حضوری هست و پس از دوره، فایلی برای دانلود نخواهیم داشت. در حال حاضر برنامهای برای برگزاری آنلاین این دوره وجود نداره اما شاید در آینده این اتفاق بیفته.
سلام
دوره ی pro دیگه برگزار نمیشه؟؟؟خیلی علاقه مندم در این دوره شرکت کنم
سلام محمد حسین عزیز
در حال بهبود و به روزرسانی این دوره بر اساس تجربیات قبل هستیم و به زودی مجدد برگزار میشه.
سلام بنده اینستاگرام هم پیام دادم به پیج
برنده تخفیف 35 درصدی شده بودم و گفتم اگه میشه روی این دوره برام تخفیف رو اعمال کنید تا بتونم ثبت نام کنم
ممنون میشم از تون
Hello, i am too late. can i get this course?