بررسی دوره‌ی تست‌نفوذ و هک وب (سطح پیشرفته)
مقاله
  • ۳۰ بهمن ۱۴۰۲
  • Learning Road Map
  • ۳ دقیقه خواندن

بررسی دوره‌ی تست‌نفوذ و هک وب (سطح پیشرفته)

سال‌هاست که بهره‌برداری از سرویس‌های تحت وب آسیب‌پذیر، یکی از جذاب‌ترین روش‌های موجود بین مهاجمین سایبری برای نفوذ به زیرساخت سازمان‌ها یا ایجاد اختلال در کسب‌وکار آن‌ها است. همین نکته سبب شده است تا ارزیابی امنیت سرویس‌های تحت وب یکی از مهم‌ترین اجزای ارزیابی امنیت و در بسیاری از موارد، پرکاربردترین نوع ارزیابی باشد که سازمان‌ها به آن اقبال ویژه‌ای داشته و به شکل‌های مختلف مانند پروژه‌های تست نفوذ، باگ‌بانتی، خدمات تیم قرمز و غیره از آن‌ بهره می‌برند. با توجه به اهمیت موضوع، موسسه‌های آموزشی مختلف در سراسر دنیا با ارایه‌ی دوره‌های آموزشی متنوع، به آموزش متخصصین امنیت وب پرداخته‌اند. آکادمی راوین نیز همگام با آخرین دانش سایبری روز دنیا اقدام به طراحی مسیرهای آموزشی خود در زمینه‌های مختلف امنیت سایبری کرده است. یکی از این مسیرها، مسیر آموزش تخصصی «هک وب و موبایل» می‌باشد که در سه سطح پایه، پیشرفته و خبره طراحی و ارایه شده است. در سطح پایه با مبانی وب، اسکریپت‌نویسی و حملات سایبری، در سطح پیشرفته با فرآیند کامل هک وب و در نهایت در سطح خبره با حملات مدرن و پیچیده‌ی سایبری در زمینه‌ی وب آشنا خواهید شد. در ادامه به بررسی کلی دوره‌ی هک و تست نفوذ وب سطح پیشرفته، پرداخته شده است. ‌ 

شناسایی (Recon)

این ماژول به دو بخش کلی  internal و external تقسیم می‌شود. بخش شناسایی external شامل تکنیک‌های مختلف subdomain enumeration و مشخص کردن  scope شده و در بخش internal  به بررسی و جمع آوری اطلاعات از داخل هدف مورد نظر خواهیم پرداخت. در این مرحله به آموزش و درک بهتر functionalityهای مختلف وب اپلیکیشن می‌پردازیم. در انتهای بخش internal یاد می‌گیریم چگونه functionalityهای مختلف یک سامانه را برای تست آسیب‌پذیری، اولویت‌بندی و کار ارزیابی را آغاز کنیم. ‌ 

شناسایی آسیب‌پذیری‌ها (Finding Vulnerabilities)

بعد از فاز شناسایی و اولویت‌بندی، در این مرحله یاد می‌گیریم که چگونه یک وب اپلیکیشن را از دو دیدگاه فنی (‌Technical) و منطقی (Logical) بررسی کنیم. ابتدا به تفاوت این دو دسته‌ی کلی پرداخته، سپس به ماژول قبلی یعنی Internal Recon باز می‌گردیم و Functionalityهای مرتبط با آسیب‌پذیری را یافته و شیوه‌ی اکسپلویت آسیب‌پذیری در پلتفرم ها و فریم‌ورک‌های مختلف و ترکیب این آسیب‌پذیری‌ها برای بالا بردن تاثیر حمله را  خواهیم آموخت .‌ در این دوره، تمام حملات و تهدیدات وب به صورت کامل تحلیل می‌شود تا دانشجویان درک عمیقی از این حملات و دلایل به وجود آمدن تهدیدات مرتبط با آن پیدا کنند. به عنوان مثال بررسی حملات مبتنی بر Injection در تصویر زیر نمایش داده شده است. Injection Based Attacks Ravin Academy ‌  

گزارش‌نویسی (Reporting)

تهیه‌ی گزارش از فرآیند ارزیابی و نتایج به دست آمده، یکی از مهم‌ترین بخش‌های هر ارزیابی است. به همین دلیل در انتهای دوره، تمام مباحث مطرح شده را در قالب یک هدف فرضی جمع‌بندی کرده و اصول گزارش‌نویسی برای ارزیابی این هدف را  خواهیم آموخت . برای کسب اطلاعات بیشتر و ثبت‌نام در این دوره از اینجا اقدام کنید.

Web Hacking Pro RavinAcademy