امروزه اکثر سازمانها برای اطلاع رسانی و تعاملی بهتر با مشتری از پرتالهای تحت وب استفاده میکنند و بسیاری از فرایندها توسط برنامههای کاربردی تحت وب انجام میشود. این مسئله به نفوذگر اجازه میدهد که با نفوذ به این پرتالها به اطلاعات حساس سازمان و مشتریان آن دسترسی پیدا کند که ضرر آن برای یک کسب و کار جبران ناپذیر خواهد بود. دوره تست نفوذ وب که بر اساس سرفصلهای استاندارد OWASP و شرکت SANS طراحی شده است، به افراد توانائی ارزیابی و پیدا کردن آسیبپذیریهای برنامههای تحت وب را میدهد و افراد پس از گذراندن این دوره میتوانند با استفاده از دانش فردی نقاط ضعف برنامههای تحت وب را پیدا و در جهت بهبود آن راهکار ارائه نمایند.
سرفصل
آشنایی با مفاهیم اولیه
- معرفی مفاهیم پایه و پروتکلها
- مدل و معماری شبکه اینترنت
- آشنایی با سرور و وب سرورها
- آشنایی با مدلهای لایهبندی شبکه
- آشنایی با تعاریف امنیتی پایه
- شناخت استانداردهای امنیت وب
جمعآوری اطلاعات و بررسی پیکربندی
- بررسی اطلاعات وبسرور
- بررسی برنامههای کاربری بر روی وبسرور
- بررسی فریمورکها و سیستمهای مدیریت محتوا
- بازبینی توضیحات و فرادادههای صفحات وب
- بررسی پیکربندی زیرساخت
احراز هویت و کنترل دسترسیها
- بررسی مکانیزمهای امنیتی و ورود کاربران
- برشماری حساب کاربران
- دور زدن کپچا
- بررسی سازوکارهای تغییر و بازنشانی گذرواژه
- تغییر سطح دسترسی کاربران
- بررسی آسیب پذیری های مربوط به سطح دسترسی (IDOR)
کوکیها و نشستها
- شمای مدیریت نشست
- تثبیت نشست و متغییرهای افشاء شده
- جعل درخواست
- ویژگیهای کوکی و انقضای آنها
حملات سمت سرور
- حمله XSS
- حمله تزریق SQL
- حمله تزریق کد
- حمله File Inclusion
- منطق کسب و کار
- مدیریت خطا
حملات سمت کاربر
- تزریق HTML
- تزریق CSS
- انتقال URL
- دزدیدن کلیک
بررسی نرم افزارهای پویش آسیب پذیری وب
- Burpsuite
- Nmap
- Owasp – ZAP
- W3af
- SkipFish
- برخی از ابزارهای مهم کالی