OWASP Top 10 Web Application Vulnerabilities

محمدمحسن خاشعی‌نژاد
محمدمحسن خاشعی‌نژاد
  • متوسط
  • مسیر قرمز
    •
  • ۱۱ درس
ثبت نام سازمانی این دوره
طول دوره
۳۶ساعت
گواهی‌نامه و آزمون
دارد
ظرفیت
۰ نفر باقی مانده
نوع برگزاری
آنلاین
ارتباط با واحد آموزش برای ثبت‌نام اقساطی

دربارۀ این دوره

سال‌هاست که بهره‌‌برداری از سرویس‌های تحت‌وب آسیب‌پذیر، یکی از جذاب‌ترین روش‌های موجود بین مهاجمان سایبری برای نفوذ به زیرساخت سازمان‌ها یا ایجاد اختلال در کسب‌وکار آن‌ها است. این موضوع باعث شده است که ارزیابی امنیت سرویس‌های تحت‌وب به یکی از مهم‌ترین بخش‌های ارزیابی امنیتی تبدیل شود و در بسیاری از موارد، به‌عنوان پرکاربردترین نوع ارزیابی امنیتی مورد توجه سازمان‌ها قرار گیرد. سازمان‌ها از این ارزیابی‌ها به شکل‌های مختلف، مانند پروژه‌های تست نفوذ، برنامه‌های باگ‌بانتی، خدمات تیم قرمز و غیره بهره‌برداری می‌کنند.
در این دوره، OWASP Top 10 و حمله‌های رایج در سطح وب، به‌صورت مفهومی و عملی بررسی می‌شوند. در ابتدای دوره، به مفاهیم وب، ساختار اپلیکیشن‌های مدرن و جمع‌آوری اطلاعات پرداخته می‌شود و در ادامه، آسیب‌پذیری‌های رایج وب به‌صورت کاربردی بررسی خواهند شد تا در انتهای دوره، دانشجویان به درک خوبی از این آسیب‌پذیری‌ها و شیوۀ اکسپلویت و بهره‌برداری از آن‌ها برسند. از ویژگی‌های خاص این دوره، می‌توان به فرایند‌محور‌ بودن (فرایند ارزیابی را به‌طور کامل پوشش می‌دهد)، آموزش عملی و بهره‌برداری از دانش روز در زمینۀ حمله‌های تحت‌وب اشاره کرد.

مدت‌زمان این دوره ۳۶ ساعت است که طی ۶ جلسۀ ۶ساعته، روزهای پنجشنبه و جمعۀ هر هفته از ساعت ۹ تا ۱۵ به‌صورت آنلاین برگزار خواهد شد. تاریخ شروع این دوره، از روز پنجشنبه ۲۱ فروردین ۱۴۰۴ خواهد بود.

می‌توانید با استفاده از شرایط اقساطی آکادمی راوین،‌ پرداخت دو قسط در دو ماه مختلف، در این دوره ثبت‌نام کنید.

مخاطبان

  • کارشناسان ارزیابی امنیت، تست نفوذ و تیم قرمز
  • متخصصان فعال در زمینۀ Bug Bounty
  • مشاوران امنیت سایبری
  • برنامه‌نویسان وب (Front-End و Back-End)

پیش‌نیازها

  • آشنایی با مفاهیم امنیت وب
  • آشنایی ابتدایی با زبان جاوا‌ اسکریپت
  • آشنایی با پروتکل‌های پرکاربرد در وب

سرفصل‌ها

  • Web Fundamentals
    • Web Protocols
    • Web Application Architecture
    • Web Authentication Mechanisms
      • Traditional
      • Modern
    • Web Security Tools & Methodologies
      • OWASP WSTG
      • Zap Proxy
      • Burp Suite
      • Internal Reconnaissance
  • Broken Access Control
    • Insecure Direct Object Reference (IDOR)
    • Cross Site Request Forgery (CSRF)
  • Injection
    • SQL Injection
      • SQLmap (Tool)
    • Command Injection
      • Commix (Tool)
    • Code Injection
    • Cross Site Scripting
      • Browsers APIs & Security
      • Different Types of XSS
      • Dalfox (tool)
  • Cryptographic Failures
    • Stateless Cryptography Weak Key
    • Weak Randomness
  • Insecure Design
    • File Upload Discovery & Exploit
  • Security Misconfiguration
    • Default Credentials
    • Stack Trace Errors
    • XML External Entity
    • CORS Misconfiguration Discovery & Exploit
    • Fuzzing to Discovery Files, Directories & Endpoints
  • Vulnerable and Outdated Components
    • Nuclei (Tool)
  • Identification & Authentication Failures
    • Authentication & Authorization
    • Cookie Based Authentication
    • Token Based Authentication
    • 2FA Authentication
  • Software and Data Integrity Failures
    • Insecure Deserialization
      • PHP Deserialization
      • NodeJs Deserialization
  • Security Logging & Monitoring Failures
  • Server-Side Request Forgery
    • SSRF Concepts
    • Discovery
    • Exploit

گواهینامه‌ی دوره

دوره های مشابه

پرسش‌های رایج