آکادمی راوین

Web Logic Attacks

محمدحسین آشفته یزدی
محمدحسین آشفته یزدی
  • متوسط
  • مسیر قرمز
  • ۳ درس
مهلت ثبت نام:
00  :  00  :  00
۱,۸۰۰,۰۰۰ تومان
ثبت نام سازمانی این دوره
تاریخ شروع
۲۲ تیر ۱۴۰۲
طول دوره
۱۶ ساعت
گواهی‌نامه و آزمون
ندارد
ظرفیت
۱۵ نفر باقی مانده

درباره‌ی این دوره

امروزه به دلیل گسترش کسب‌وکارهای اینترنتی و تعامل بیشتر مخاطبین و سرویس‌دهنده‌­ها در بستر اینترنت، اپلیکیشن‌­های وب و موبایل نقش مهمی در روزمرگی‌­های ما پیدا کرده‌­اند. این امر موجب افزایش حملات بر روی این اپلیکیشن‌­ها نیز شده است. به صورت کلی آسیب­‌پذیری­‌های سمت وب به دو دسته‌­ی فنی و منطقی تقسیم می‌­شوند. با پیشرفت تکنولوژی­‌های امنیتی مانند WAF، پیاده‌سازی حملات فنی مانند SQL Injection, XSS و… دشوارتر شده است. با توجه به موارد ذکر شده، امروزه دسته‌ی دیگری از آسیب‌­پذیری‌­ها به نام آسیب‌­پذیری‌­های منطقی، مورد توجه بسیاری از متخصصین امنیت قرار گرفته است. در واقع انجام هر عملیاتی مانند ثبت‌­نام یا ورود به سامانه، نیازمند طی‌شدن فرآیند مشخصی در وب‌سایت‌ها است. در صورتی که یک شخص بتواند فرآیند از پیش تعیین‌ شده را تغییر دهد و یا نقصی در آن ایجاد کند، به یک آسیب‌­پذیری منطقی دست پیدا کرده است. آشنایی و شناخت این دسته از حملات، خود می‌­تواند منجر به یافتن تعداد بیشتری از آسیب­‌پذیری‌ها شود که این امر هم در بحث تست نفوذ و هم در بحث باگ‌بانتی بسیار تاثیرگذار خواهد بود. شما با حضور در دوره‌­ی Web Logic Attacks ضمن آشنایی با این نوع از آسیب‌پذیری‌ها، موارد متعددی از حملات منطقی مانند مفاهیم آسیب‌پذیری‌های منطقی، منطق‌های کسب‌وکاری، نقاط ضعف منطقی در کنترل دسترسی، نقاط ضعف منطقی در احراز هویت و بسیاری موارد دیگر را به صورت عملی خواهید آموخت. مدت زمان این دوره ۱۶ ساعت است که طی ۲ جلسه‌ی ۸ ساعته، پنج‌شنبه ۲۲ و جمعه‌ ۲۳ تیر از ساعت ۱۰:۰۰ الی ۱۸:۰۰، به صورت آنلاین برگزار خواهد شد.

این دوره به چه افرادی توصیه می‌شود؟

  • کارشناسان ارزیابی امنیت/تست نفوذ/تیم قرمز
  • متخصصین فعال در زمینه‌ی Bug Bounty
  • مشاورین امنیت سایبری
  • توسعه‌­دهندگان وب اپلیکیشن‌­ها

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

  • از آن­جایی که در این دوره تنها به آسیب‌­پذیری­‌های منطقی پرداخته می‌­شود، دانشجو باید با آسیب‌­پذیری‌­های فنی و مقدمات ارزیابی امنیتی وب اپلیکیشن­‌ها آشنایی داشته باشد. همچنین آشنایی با حداقل یک زبان برنامه‌­نویسی می­‌تواند بسیار تاثیرگذار باشد. مهم‌­ترین پیش­‌نیازهای این دوره عبارتند از:
  • آشنایی با آسیب­‌پذیری‌­های رایج در وب یا آشنایی با یکی از دوره‌­های 542 SEC و یا 10 OWASP Top
  • حداقل یک سال تجربه‌ی کاری در زمینه‌ی امنیت سایبری و تست نفوذ
  • آشنایی با یک زبان برنامه‌نویسی سمت سرور
  • آشنایی با Burp Suite

سرفصل‌های دوره

  • Business Logic
    • Logical vs Technical Bugs
    • Business Logic & Business Rules
    • From client-side controls to Business Logic Error
    • Unconventional Inputs
    • Dual-Use Endpoints
    • Privacy Violation Issues
    • Race Condition
      • Introduction to Race Condition
      • Exploitation Techniques
      • Race Condition in payment Gateways
    • Vulnerabilities Around Payment Gateways
    • Encryption
      • Encryption Models
      • Real World Attack Scenarios
    • Prevention Tips
  • Access Control Flaws
    • Introduction to Access Control Mechanism
    • Access Control Types & Models
    • Access Control Policies
    • Vertical Access Control
    • Multi-Step Functionalities
    • IDOR
    • Real World Scenarios
    • Prevention Tips
  • Logical Flaws in Authentication
    • Password Reset Logical Flaws
    • Rate Limit
    • SSO Logical Flaws
      • What is SSO
      • How SSO works
      • Logic behind of SSO process
      • SSO Vulnerabilities

دوره های مشابه