آموزش مرحله به مرحله هک وب و تست نفوذ

سرفصل ها و درس ها

چرا امنیت وب؟ Why Web Security?

چرا امنیت وب؟ Why Web Security?

• معرفی Introduction

• مشکلات اصلی - چرا امنیت وب Core Problems - Why Web Security

• فناوری های وب Web Technologies

• آماده سازی محیط آزمایشگاه Preparing the Lab Environment

• جمع آوری اطلاعات با استفاده از موتورهای جستجو و شبکه های اجتماعی - قسمت 1 Information Gathering using Search Engines and Social Networks - part 1

• جمع آوری اطلاعات با استفاده از موتورهای جستجو و شبکه های اجتماعی - قسمت 2 Information Gathering using Search Engines and Social Networks - part 2

• به کلاس آنلاین ما بپیوندید! Join Our Online Classroom!

نقشه برداری وب اپلیکیشن کاربر و رمز عبور Brute-Forcing Mapping the Web Application. User and Password Brute-Forcing

نقشه برداری وب اپلیکیشن کاربر و رمز عبور Brute-Forcing Mapping the Web Application. User and Password Brute-Forcing

• نقشه برداری وب اپلیکیشن به چه معناست What Web Application Mapping Means

• نام کاربری و گذرواژه‌ها اجبار بی‌رحمانه با استفاده از Burp Usernames and Passwords Brute-Forcing using Burp

• عنکبوت و تجزیه و تحلیل یک وب سایت با استفاده از Burp Spider and Analyze a Website using Burp

• منابع وب با استفاده از Dirb و Dirbuster Brute-frocing Web Resources using Dirb and Dirbuster

حمله به احراز هویت و مدیریت جلسه - ربودن جلسه Attacking Authentication and Session Management - Session Hijacking

حمله به احراز هویت و مدیریت جلسه - ربودن جلسه Attacking Authentication and Session Management - Session Hijacking

• بررسی اجمالی تئوریک احراز هویت حمله و مدیریت جلسه Theoretical Overview of Attacking Authentication and Session Management

• ربودن جلسه از طریق Man In The Middle Attack Session Hijacking trough Man In The Middle Attack

• رهگیری و دسترسی به ترافیک از طریق HTTPS. پسوردهای فیس بوک یا جیمیل را دریافت کنید Intercept and access traffic over HTTPS. Get Facebook or Gmail Passwords

کنترل های دسترسی ذخیره‌سازی داده‌ها و کنترل‌های سمت مشتری Access controls. Data stores and Client-side Controls

کنترل های دسترسی ذخیره‌سازی داده‌ها و کنترل‌های سمت مشتری Access controls. Data stores and Client-side Controls

• رویکرد نظری حمله به کنترل های دسترسی Theoretical Approach of Attacking Access Controls

• تزریق SQL SQL injection

• بهره برداری از SQLi با استفاده از Sqlmap و دریافت Remote Shell Exploiting SQLi using Sqlmap and Getting Remote Shell

• آپلود و اجرای فایل از راه دور Upload and Remote File Execution

حمله به سرور و منطق برنامه Attacking the Server and Application Logic

حمله به سرور و منطق برنامه Attacking the Server and Application Logic

• حمله به سرور: تزریق فرمان سیستم عامل، پیمایش مسیر و تزریق ایمیل Attacking the server: OS Command injection, Path Traversal and Mail Injection

• حمله به منطق برنامه Attacking Application Logic

(XSS) برنامه نویسی متقابل سایت. حمله به کاربران (XSS) Cross Site Scripting. Attacking the Users

(XSS) برنامه نویسی متقابل سایت. حمله به کاربران (XSS) Cross Site Scripting. Attacking the Users

• تئوری اسکریپت نویسی متقابل سایت. حمله به کاربران Cross Site Scripting Theory. Attacking Users

• Reflected XSS – Session Hijacking با استفاده از Cross Site Scripting Reflected XSS – Session Hijacking using Cross Site Scripting

• اسکریپت نویسی متقابل سایت ذخیره شده یا مداوم Stored or Persistent Cross Site Scripting

• نسخه ی نمایشی Beef-XSS Beef-XSS Demo

• جعل درخواست بین سایتی (CSRF) Cross-site Request Forgery (CSRF)

راهنمای کشف و بهبود امنیت برنامه Guideline for Discovering and Improving Application Security

راهنمای کشف و بهبود امنیت برنامه Guideline for Discovering and Improving Application Security

• پاداش - 10 آسیب پذیری برتر OWASP Bonus - OWASP Top 10 Vulnerabilities

• راهنمای کشف و بهبود امنیت برنامه Guideline for Discovering and Improving Application Security

(پاداش) ابزار Burp برای تست پیشرفته نفوذ وب (Bonus) Burp Tool for Advanced Web Penetration Testing

(پاداش) ابزار Burp برای تست پیشرفته نفوذ وب (Bonus) Burp Tool for Advanced Web Penetration Testing

• راه اندازی جایگزین - بارگیری Burp. رایگان در مقابل پولی Alternative setup - Download Burp. Free vs Paid

• راه اندازی محیط. واردات گواهی آروغ زدن Environment Setup. Import Burp Certificate

• پروکسی - مفهوم کلی Proxy - General Concept

• ماژول هدف Target Module

• ماژول پروکسی - قسمت 1 Proxy Module - part 1

• ماژول پروکسی - قسمت 2 Proxy Module - part 2

• اطلاعات بیشتر Further information

(پاداش) حملات شبکه (Bonus) Network Attacks

(پاداش) حملات شبکه (Bonus) Network Attacks

• نسخه ی نمایشی - از Nessus برای کشف آسیب پذیری ها استفاده کنید Demo - Use Nessus to Discover Vulnerabilities

• نسخه ی نمایشی - استفاده از Paros برای کشف آسیب پذیری Demo - Using Paros for Vulnerability Discovery

• متاسپلویت Metasploit

• نسخه ی نمایشی - بهره برداری از آسیب پذیری سرور FTP با استفاده از Metasploit Demo - Exploiting FTP Server Vulnerability using Metasploit

• هک شبکه های بی سیم Hacking Wireless Networks

(پاداش) مهندسی معکوس اندروید (Bonus) Android reverse Engineering

(پاداش) مهندسی معکوس اندروید (Bonus) Android reverse Engineering

• ساختار فایل APK فایل XML AndroidManifest APK file Structure. AndroidManifest XML file

• معکوس کردن برای دریافت کد منبع برنامه - دیکامپایل با dex2jar Reversing to get Source code of the Application - decompiling with dex2jar

• معکوس کردن و کامپایل مجدد با APKTool Reversing and Re-compiling With APKTool

• تجزیه و تحلیل استاتیک برنامه اندروید با استفاده از QARK Static Analysis of Android Application using QARK

• Owasp Top 10 Mobile Owasp Top 10 Mobile

(پاداش) مبانی مهندسی اجتماعی (Bonus) Social Engineering Basics

(پاداش) مبانی مهندسی اجتماعی (Bonus) Social Engineering Basics

• آشنایی با مالتگو Introduction to Maltego

• Maltego - نسخه ی نمایشی Maltego - demo