JavaScript Security

  • متوسط
  • مسیر قرمز
  • ۲ درس
مهلت ثبت نام:
۴,۵۰۰,۰۰۰ تومان
ثبت نام سازمانی این دوره
تاریخ شروع
۶ خرداد ۱۴۰۳
طول دوره
۳۰ساعت
گواهی‌نامه و آزمون
دارد
ظرفیت
۵ نفر باقی مانده
نوع برگزاری
آنلاین

درباره‌ی این دوره

JavaScript یکی از پرکاربردترین زبان‌های برنامه‌نویسی در سامانه‌های تحت‌وب است و کاربردهای وسیعی در پروژه‌های مختلف Front-End ،Back-End و Full-Stack می‌توان برای آن بر شمرد. این زبان همچنین، بهترین زبان شناخته‌شده برای پیاده‌سازی بخش‌های مختلف سمت کاربر است. سطح عمومیت JavaScript در وب‌سایت‌ها، اهمیت ارزیابی کدهای نوشته‌شده توسط این زبان برنامه‌نویسی در راستای حفظ امنیت سامانه‌های آنلاین را بسیار بالا برده است.

از طرفی شکارچیان باگ نیز توجه ویژه‌ای به آسیب‌پذیری‌های ناشی از پیاده‌سازی نادرست JavaScript دارند. در واقع علاوه‌بر آسیب‌پذیری‌هایی که امکان دارد به‌صورت مستقیم و به‌دلیل پیاده‌سازی نادرست بخش‌های مختلف یک وب‌سایت با استفاده از این زبان به وجود آید، شکارچیان باگ می‌توانند با بهره‌برداری از ترکیب دانش خود از JavaScript با سایر آسیب‌پذیری‌های مرتبط، مانند XSS، به آسیب‌پذیری‌های با سطح بالاتر دست پیدا کرده و در نتیجه جوایز بیشتری دریافت کنند. به همین دلیل است که خبرگان امنیت سایبری اعتقاد دارند دانش تست نفوذ یا هک بدون وجود دانش برنامه‌نویسی، هیچ‌گاه شما را به یک هکر یا شکارچی تمام‌عیار تبدیل نخواهد کرد.

شما با شرکت در این دوره به مباحث زیر تسلط پیدا می‌کنید:

  • ساختار کلی زبان جاوا‌اسکریپت
  • ساختار مرورگر‌های وب
  • باگ‌های سمت کاربر

مدت‌زمان این دوره ۳۰ ساعت است که طی ۱۰ جلسه‌ی ۳ساعته، یکشنبه و سه‌شنبه‌ی هر هفته از ساعت ۱۸:۰۰ تا ۲۱:۰۰، به‌صورت آنلاین برگزار خواهد شد. شروع این دوره از روز یکشنبه ۶ خرداد ۱۴۰۳ خواهد بود.

این دوره به چه افرادی توصیه می‌شود؟

  • کارشناسان ارزیابی امنیت، تست نفوذ و تیم قرمز
  • متخصصان فعال در زمینه‌ی Bug Bounty
  • مشاوران امنیت سایبری
  • برنامه‌نویسان وب (Front-End و Back-End)

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

  • آشنایی با مفاهیم امنیت وب
  • آشنایی با یک زبان برنامه‌نویسی
  • آشنایی با حمله‌های سایبری پرکاربرد در زمینه‌ی وب

سرفصل‌های دوره

  • JS Fundamentals
    • JS Basics
      • JS Environments
      • Parsing JavaScript
      • Variables
      • Data Types & Operators
      • Control Flow & Loops
      • Working with Reference Types
      • Prototypes
      • Introduction to ES6
      • Encodings
    • Runtime Environments & Frameworks
      • NodeJS
      • AngularJS
      • VueJS
      • ElectronJS
  • Browser Under the Hood
    • Document Object Model
      • DOM Tree
      • DOM Manipulation
      • Event Handlers
    • Web APIs
    • Event Loop & Execution Flow
      • Asynchronous JavaScript
      • Task Queue
      • Callbacks
    • Cross-Window Messaging
    • Debugging in the Browser
    • Browser Security Mechanisms
  • JS Recon
    • JS Files Use Cases
    • JS Files Enumeration
    • Static Analysis of JS Files
      • Identifying the Endpoints & Extend the Attack Surface
      • Identifying the Sensitive Tokens
      • Identifying the Vulnerable Components
      • Identifying the Unclaimed Dependencies
      • Identifying the Sources & Sinks
  • XSS & CSRF
    • CSRF
      • Root Cause
      • Detection & Exploitation Techniques
    • XSS
      • Reflected XSS (RXSS)
      • Stored XSS
      • Blind XSS
      • Self-XSS
      • DOM XSS
      • Client-Side Race Condition to DOM XSS
      • DOM Clobbering
      • Mutation XSS
      • Server-Side XSS (PDF Generators)
      • XSS to RCE in Electron Apps
      • CSP Bypass
      • Hunting Methodology
  • Client-Side Template Injection
    • Root Cause
    • CSTI in AngularJS
    • CSTI in VueJS
    • Hunting Methodology
  • Prototype Pollution
    • Root Cause
    • Prototype Pollution to DOM XSS
    • Prototype Pollution to RCE
    • Hunting Methodology
  • Cross-Origin Attacks
    • CORS Misconfiguration
      • Detection & Exploitation Techniques
      • Hunting Methodology
    • postMessage Attack Scenarios
      • postMessage to DOM XSS
      • postMessage to Information Disclosure
      • postMessage Chaining Scenarios
      • Hunting Methodology
    • Insecure JSONP Calls
      • Detection & Exploitation Techniques
      • JSONP Chaining Scenarios
      • Hunting Methodology
  • Server-Side JavaScript Injection
    • Root Cause
    • Detection & Exploitation Techniques
    • Developing a Custom WebShell

گواهینامه‌ی دوره

دوره های مشابه

JavaScript Security
مهدی حاتمی

(Attacking Active Directory (Using MIMIKATZ

  • از ۲۵ اسفند
  • متوسط
  • مسیر قرمز
تکمیل ظرفیت
درخواست برگزاری