Web Logic Attacks

محمدحسین آشفته یزدی
محمدحسین آشفته یزدی
  • پیشرفته
  • مسیر قرمز
    •
  • ۳ درس
۲,۹۰۰,۰۰۰ تومان
ثبت نام سازمانی این دوره
طول دوره
۱۰ساعت
گواهی‌نامه و آزمون
دارد
نوع برگزاری
آفلاین
ارتباط با واحد آموزش برای ثبت‌نام اقساطی

دربارۀ این دوره

امروزه، به‌دلیل گسترش کسب‌وکارهای اینترنتی و تعامل بیشتر مخاطبان و سرویس‌دهنده‌­ها در بستر اینترنت، اپلیکیشن‌­های وب و موبایل نقش مهمی در روزمرگی‌­های ما پیدا کرده‌­اند. این امر موجب افزایش حمله‌ها، روی این اپلیکیشن‌­ها نیز شده است. به‌صورت کلی، آسیب­‌پذیری­‌های سمت وب به دو دستۀ فنی و منطقی تقسیم می‌­شوند. با پیشرفت تکنولوژی‌های امنیتی مانند WAF، پیاده‌سازی حمله‌های فنی مانند SQL Injection ،XSS و… دشوارتر شده است.

با توجه به موارد ذکر‌شده، امروزه دستۀ دیگری از آسیب‌­پذیری‌­ها به نام آسیب‌­پذیری‌­های منطقی، توجه بسیاری از متخصصان امنیت را به خود جلب کرده است. در واقع، انجام هر عملیاتی مانند ثبت‌­نام یا ورود به سامانه، نیازمند طی‌ شدن فرایند مشخصی در وب‌سایت‌ها است. ‌درصورتی‌که یک شخص بتواند فرایند ازپیش‌تعیین‌‌شده را تغییر دهد یا نقصی در آن ایجاد کند، به یک آسیب‌­پذیری منطقی دست پیدا کرده است. آشنایی و شناخت این دسته از حمله‌ها، خود می‌­تواند به یافتن تعداد بیشتری از آسیب­‌پذیری‌ها منجر شود که این امر هم در بحث تست نفوذ و هم در بحث باگ‌بانتی، بسیار تأثیرگذار خواهد بود.

شما با حضور در دورۀ Web Logic Attacks ضمن آشنایی با این نوع از آسیب‌پذیری‌ها، حمله‌های منطقی دیگری مانند مفاهیم آسیب‌پذیری‌های منطقی، منطق‌های کسب‌وکاری، نقاط ضعف منطقی در کنترل دسترسی، نقاط ضعف منطقی در احراز هویت را به‌صورت عملی خواهید آموخت.

مدت‌زمان این دوره ۱۰ ساعت است که در قالب جلسات ویدیویی در اختیار شما قرار خواهد گرفت. در کنار ویدیوها، گروه تلگرامی برای ارتباط مستقیم با دانشجویان دوره و مدرس و همچنین جلسات آنلاین پشتیبانی و رفع‌اشکال خواهید داشت. جلسات آنلاین به‌صورت ماهانه، در‌صورت نیاز دانشجویان دوره برگزار خواهد شد.

این دوره، بازۀ زمانی برای شروع و پایان ندارد و در تمام سال، امکان خرید و پیوستن به گروه پشتیبانی را خواهید داشت. به‌محض ثبت‌نام، تمام ویدیوهای آموزشی دوره، در اختیارتان قرار خواهد گرفت.

مخاطبان

  • کارشناسان ارزیابی امنیت، تست نفوذ، تیم قرمز
  • متخصصان فعال در زمینۀ Bug Bounty
  • مشاوران امنیت سایبری
  • توسعه‌­دهندگان وب‌اپلیکیشن‌­ها

پیش‌نیازها

  • ازآن­جاکه در این دوره، تنها به آسیب‌­پذیری­‌های منطقی پرداخته می‌­شود، دانشجو باید با آسیب‌­پذیری‌­های فنی و مقدمات ارزیابی امنیتی وب‌اپلیکیشن­‌ها آشنایی داشته باشد. همچنین، آشنایی با حداقل یک زبان برنامه‌­نویسی می­‌تواند بسیار تأثیرگذار باشد. مهم‌­ترین پیش­‌نیازهای این دوره عبارت‌اند از:
  • آشنایی با آسیب­‌پذیری‌­های رایج در وب یا آشنایی با یکی از دوره‌­های 542 SEC یا 10 OWASP Top
  • حداقل یک سال تجربۀ کاری در زمینۀ امنیت سایبری و تست نفوذ
  • آشنایی با یک زبان برنامه‌نویسی سمت سرور
  • آشنایی با Burp Suite

سرفصل‌ها

  • Business Logic
    • Logical vs Technical Bugs
    • Business Logic & Business Rules
    • From client-side controls to Business Logic Error
    • Unconventional Inputs
    • Dual-Use Endpoints
    • Privacy Violation Issues
    • Race Condition
      • Introduction to Race Condition
      • Exploitation Techniques
      • Race Condition in payment Gateways
    • Vulnerabilities Around Payment Gateways
    • Encryption
      • Encryption Models
      • Real World Attack Scenarios
    • Prevention Tips
  • Access Control Flaws
    • Introduction to Access Control Mechanism
    • Access Control Types & Models
    • Access Control Policies
    • Vertical Access Control
    • Multi-Step Functionalities
    • IDOR
    • Real World Scenarios
    • Prevention Tips
  • Logical Flaws in Authentication
    • Password Reset Logical Flaws
    • Rate Limit
    • SSO Logical Flaws
      • What is SSO
      • How SSO works
      • Logic behind of SSO process
      • SSO Vulnerabilities

گواهینامه‌ی دوره

دوره های مشابه

پرسش‌های رایج