Web Logic Attacks

  • متوسط
  • مسیر قرمز
  • ۳ درس
ثبت نام سازمانی این دوره
تاریخ شروع
۲۸ تیر ۱۴۰۲
طول دوره
۱۶ساعت
گواهی‌نامه و آزمون
دارد
ظرفیت
۳ نفر باقی مانده
نوع برگزاری
آنلاین

درباره‌ی این دوره

سال‌هاست که بهره‌برداری از سرویس‌های تحت وب آسیب‌پذیر، یکی از جذاب‌ترین روش‌های موجود بین مهاجمان سایبری برای نفوذ به زیرساخت سازمان‌ها یا ایجاد اختلال در کسب‌وکار آن‌ها است. همین نکته سبب شده است تا ارزیابی امنیت سرویس‌های تحت وب، یکی از مهم‌ترین اجزای ارزیابی امنیت و در بسیاری از موارد، پرکاربردترین نوع ارزیابی امنیت باشد که سازمان‌ها به آن اقبال ویژه‌ای داشته و به شکل‌های مختلف، مانند پروژه‌های تست نفوذ، باگ‌بانتی، خدمات تیم قرمز و غیره از آن‌ بهره می‌برند.

امروزه به دلیل گسترش کسب‌وکارهای اینترنتی و تعامل بیشتر مخاطبین و سرویس‌دهنده‌­ها در بستر اینترنت، اپلیکیشن‌­های وب و موبایل نقش مهمی در روزمرگی‌­های ما پیدا کرده‌­اند. این امر موجب افزایش حملات بر روی این اپلیکیشن‌­ها نیز شده است. به صورت کلی آسیب­‌پذیری­‌های سمت وب به دو دسته‌­ی فنی و منطقی تقسیم می‌­شوند. با پیشرفت تکنولوژی­‌های امنیتی مانند WAF، پیاده‌سازی حملات فنی مانند SQL Injection, XSS و… دشوارتر شده است.

با توجه به موارد ذکر شده، امروزه دسته‌ی دیگری از آسیب‌­پذیری‌­ها به نام آسیب‌­پذیری‌­های منطقی، مورد توجه بسیاری از متخصصین امنیت قرار گرفته است. در واقع انجام هر عملیاتی مانند ثبت‌­نام یا ورود به سامانه، نیازمند طی‌شدن فرآیند مشخصی در وب‌سایت‌ها است. در صورتی که یک شخص بتواند فرآیند از پیش تعیین‌ شده را تغییر دهد و یا نقصی در آن ایجاد کند، به یک آسیب‌­پذیری منطقی دست پیدا کرده است. آشنایی و شناخت این دسته از حملات، خود می‌­تواند منجر به یافتن تعداد بیشتری از آسیب­‌پذیری‌ها شود که این امر هم در بحث تست نفوذ و هم در بحث باگ‌بانتی بسیار تاثیرگذار خواهد بود.

شما با حضور در دوره‌­ی Web Logic Attacks ضمن آشنایی با این نوع از آسیب‌پذیری‌ها، موارد متعددی از حملات منطقی مانند مفاهیم آسیب‌پذیری‌های منطقی، منطق‌های کسب‌وکاری، نقاط ضعف منطقی در کنترل دسترسی، نقاط ضعف منطقی در احراز هویت و بسیاری موارد دیگر را به صورت عملی خواهید آموخت.

مدت زمان این دوره ۱۶ ساعت است که طی ۲ جلسه‌ی ۸ ساعته، پنج‌شنبه ۲۹ و جمعه‌ ۳۰ تیر از ساعت ۱۰:۰۰ الی ۱۸:۰۰، به صورت آنلاین برگزار خواهد شد.

این دوره به چه افرادی توصیه می‌شود؟

  • کارشناسان ارزیابی امنیت/تست نفوذ/تیم قرمز
  • متخصصین فعال در زمینه‌ی Bug Bounty
  • مشاورین امنیت سایبری
  • توسعه‌­دهندگان وب اپلیکیشن‌­ها

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

  • از آن­جایی که در این دوره تنها به آسیب‌­پذیری­‌های منطقی پرداخته می‌­شود، دانشجو باید با آسیب‌­پذیری‌­های فنی و مقدمات ارزیابی امنیتی وب اپلیکیشن­‌ها آشنایی داشته باشد. همچنین آشنایی با حداقل یک زبان برنامه‌­نویسی می­‌تواند بسیار تاثیرگذار باشد. مهم‌­ترین پیش­‌نیازهای این دوره عبارتند از:
  • آشنایی با آسیب­‌پذیری‌­های رایج در وب یا آشنایی با یکی از دوره‌­های 542 SEC و یا 10 OWASP Top
  • حداقل یک سال تجربه‌ی کاری در زمینه‌ی امنیت سایبری و تست نفوذ
  • آشنایی با یک زبان برنامه‌نویسی سمت سرور
  • آشنایی با Burp Suite

سرفصل‌های دوره

  • Business Logic
    • Logical vs Technical Bugs
    • Business Logic & Business Rules
    • From client-side controls to Business Logic Error
    • Unconventional Inputs
    • Dual-Use Endpoints
    • Privacy Violation Issues
    • Race Condition
      • Introduction to Race Condition
      • Exploitation Techniques
      • Race Condition in payment Gateways
    • Vulnerabilities Around Payment Gateways
    • Encryption
      • Encryption Models
      • Real World Attack Scenarios
    • Prevention Tips
  • Access Control Flaws
    • Introduction to Access Control Mechanism
    • Access Control Types & Models
    • Access Control Policies
    • Vertical Access Control
    • Multi-Step Functionalities
    • IDOR
    • Real World Scenarios
    • Prevention Tips
  • Logical Flaws in Authentication
    • Password Reset Logical Flaws
    • Rate Limit
    • SSO Logical Flaws
      • What is SSO
      • How SSO works
      • Logic behind of SSO process
      • SSO Vulnerabilities

گواهینامه‌ی دوره

دوره های مشابه