آموزش هک اخلاقی: هواپیماربایی جلسه ای

Ethical Hacking: Session Hijacking

نکته: آخرین آپدیت رو دریافت میکنید حتی اگر این محتوا بروز نباشد.
نمونه ویدیویی برای نمایش وجود ندارد.
توضیحات دوره: Pluralsight یک شریک رسمی یا مرکز آموزش معتبر EC-Council نیست. این دوره به طور عمیق خطرات ناشی از هواپیماربایی را طی می کند و به شما کمک می کند تا با یک درک قوی از هواپیماربایی جلسه هکر اخلاقی شوید. Pluralsight یک شریک رسمی یا مرکز آموزش معتبر EC-Council نیست. تداوم جلسه یک مفهوم اساسی در سیستم های اطلاعاتی است. به عنوان مثال در وب ، که به پروتکل HTTP بدون حالت وابسته است ، تداوم جلسه یکی از اجزای اصلی ویژگی های مختلف از سبد خرید گرفته تا امکان ورود به سیستم است. در سطح پایین تر در سطح شبکه ، پروتکل TCP به جلسات ارتباط بین ماشین هایی مانند مشتری و سرور متکی است. محرمانه بودن و صداقت این ارتباطات می تواند به طور جدی تحت تأثیر حمله هواپیماربایی جلسه قرار گیرد. یادگیری نحوه شناسایی این خطرات یک قابلیت اساسی برای هکر اخلاقی است. سیستم ها اغلب به طور ناامن ساخته می شوند و به راحتی این نقص ها را برملا می کنند. برعکس ، با استفاده از الگوهای ساده در داخل برنامه ، در برابر خطرات معمولاً می توان از آن دفاع کرد. این دوره هم خطرات و هم دفاع را پشت سر می گذارد. این دوره بخشی از سری اخلاقی هک است. http://blog.pluralsight.com/learning-path-ethical-hacking

سرفصل ها و درس ها

درک جلسه هواپیماربایی Understanding Session Hijacking

  • بررسی اجمالی Overview

  • هواپیماربایی جلسه ای چیست؟ What Is Session Hijacking?

  • انواع هواپیماربایی جلسه ای Types of Session Hijacking

  • برداران حمله Attack Vectors

  • تأثیر هواپیماربایی جلسه ای The Impact of Session Hijacking

  • Session Rijacking و OWASP Top 10 Session Hijacking and the OWASP Top 10

  • خلاصه Summary

پایداری جلسه در برنامه های وب Session Persistence in Web Applications

  • بررسی اجمالی Overview

  • ماهیت بدون دولت HTTP The Stateless Nature of HTTP

  • حالت پایدار بیش از HTTP Persisting State Over HTTP

  • پایداری جلسه در کوکی ها Session Persistence in Cookies

  • ماندگاری جلسه در URL Session Persistence in the URL

  • ماندگاری جلسه در زمینه های فرم پنهان Session Persistence in Hidden Form Fields

  • خلاصه Summary

جلسات هواپیماربایی در برنامه های وب Hijacking Sessions in Web Applications

  • بررسی اجمالی Overview

  • ربودن کوکی ها با برنامه نویسی Cross Site Hijacking Cookies with Cross Site Scripting

  • شناسه های جلسه مبتنی بر کوکی در گزارش ها Exposed Cookie Based Session IDs in Logs

  • شناسه های جلسه مبتنی بر URL در گزارش ها Exposed URL Based Session IDs in Logs

  • درز اطلاعات URL با جلسات مداوم در مراجعه کننده Leaking URL Persisted Sessions in the Referrer

  • جلسه بو کردن Session Sniffing

  • رفع جلسه Session Fixation

  • شناسه های جلسه اجبار بی رحمانه Brute Forcing Session IDs

  • اهدای جلسه Session Donation

  • خلاصه Summary

شبکه و سطح سرویس گیرنده هواپیماربایی Network and Client Level Session Hijacking

  • بررسی اجمالی Overview

  • درک TCP Understanding TCP

  • مرور دست دادن سه طرفه در Wireshark Reviewing the Three-way Handshake in Wireshark

  • تولید و پیش بینی اعداد توالی TCP Generation and Predictability of TCP Sequence Numbers

  • هواپیماربایی کور Blind Hijacking

  • مردی در جلسه میانی استشمام می کند Man in the Middle Session Sniffing

  • جعل IP IP Spoofing

  • هواپیماربایی UDP UDP Hijacking

  • مرد در حملات مرورگر Man in the Browser Attacks

  • هواپیماربایی در سطح جلسه شبکه Network Level Session Hijacking in the Wild

  • خلاصه Summary

کاهش خطر هواپیماربایی در جلسه Mitigating the Risk of Session Hijacking

  • بررسی اجمالی Overview

  • از شناسه های جلسه قوی استفاده کنید Use Strong Session IDs

  • شناسه های جلسه را از URL دور نگه دارید Keep Session IDs Out of the URL

  • از شناسه جلسه برای Auth استفاده مجدد نکنید Don’t Reuse Session ID for Auth

  • همیشه کوکی های شناسه جلسه را فقط به عنوان HTTP پرچم گذاری کنید Always Flag Session ID Cookies as HTTP Only

  • از Transport Layer Security استفاده کنید Use Transport Layer Security

  • همیشه کوکی های شناسه جلسه را به عنوان امن پرچم گذاری کنید Always Flag Session ID Cookies as Secure

  • انقضا جلسه و استفاده از کوکی های جلسه Session Expiration and Using Session Cookies

  • غیرفعال کردن جلسات کشویی را در نظر بگیرید Consider Disabling Sliding Sessions

  • کاربران را ترغیب کنید تا از سیستم خارج شوند Encourage Users to Log Out

  • دوباره احراز هویت قبل از اقدامات کلیدی را انجام دهید Re-authenticate Before Key Actions

  • خلاصه Summary

خودکار حملات هواپیماربای جلسه Automating Session Hijack Attacks

  • بررسی اجمالی Overview

  • دستکاری شناسه های جلسه با OWASP ZAP Manipulating Session IDs with OWASP ZAP

  • تست قدرت نشانه نشست با Burp Suite Testing Session Token Strength with Burp Suite

  • تست تجزیه و تحلیل پویا با NetSparker Dynamic Analysis Testing with NetSparker

  • ابزارهای دیگر Other Tools

  • خلاصه Summary

نمایش نظرات

آموزش هک اخلاقی: هواپیماربایی جلسه ای
جزییات دوره
3h 27m
53
Pluralsight (پلورال سایت) Pluralsight (پلورال سایت)
(آخرین آپدیت)
268
4.7 از 5
دارد
دارد
دارد
Troy Hunt
جهت دریافت آخرین اخبار و آپدیت ها در کانال تلگرام عضو شوید.

Google Chrome Browser

Internet Download Manager

Pot Player

Winrar

Troy Hunt Troy Hunt

تروی هانت یک مدیر منطقه ای مایکروسافت و MVP برای امنیت توسعه دهنده ، یک ASPInsider و یک نویسنده تمام وقت برای Pluralsight است - یک رهبر در آموزش آنلاین برای فن آوری و متخصصان خلاق. Troy از همان روزهای ابتدایی وب در حال ساخت نرم افزار برای مرورگرها بوده و از توانایی استثنایی در تقسیم موضوعات پیچیده در توضیحات قابل استفاده برخوردار است. این امر باعث شده است تروی در صنعت امنیت به عنوان یک رهبر فکری در صنعت شناخته شود و بیش از بیست دوره با رتبه برتر برای Pluralsight تولید کند. در حال حاضر ، تروی به شدت درگیر است آیا من pwned شده ام؟ (HIBP) یک سرویس رایگان است که اطلاعات نقض را جمع می کند و به افراد کمک می کند تا تأثیرات بالقوه ناشی از فعالیت وب مخرب را ایجاد کنند. Troy بطور مرتب درباره امنیت وبلاگ می نویسد و سخنران مکرری در کنفرانسهای صنعت در سرتاسر جهان و رسانه ها برای بحث در مورد طیف گسترده ای از فناوری ها است. تروی در چندین مقاله با نشریاتی از جمله فوربس ، مجله TIME ، Mashable ، PCWorld ، ZDNet و Yahoo! فن آوری گذشته از فناوری و امنیت ، تروی یک بازیکن اسنوبورد ، موج سوار و تنیس باز است