نکته:
آخرین آپدیت رو دریافت میکنید حتی اگر این محتوا بروز نباشد.
نمونه ویدیویی برای نمایش وجود ندارد.
توضیحات دوره:
Pluralsight یک شریک رسمی یا مرکز آموزش معتبر EC-Council نیست. این دوره به طور عمیق خطرات ناشی از هواپیماربایی را طی می کند و به شما کمک می کند تا با یک درک قوی از هواپیماربایی جلسه هکر اخلاقی شوید. Pluralsight یک شریک رسمی یا مرکز آموزش معتبر EC-Council نیست. تداوم جلسه یک مفهوم اساسی در سیستم های اطلاعاتی است. به عنوان مثال در وب ، که به پروتکل HTTP بدون حالت وابسته است ، تداوم جلسه یکی از اجزای اصلی ویژگی های مختلف از سبد خرید گرفته تا امکان ورود به سیستم است. در سطح پایین تر در سطح شبکه ، پروتکل TCP به جلسات ارتباط بین ماشین هایی مانند مشتری و سرور متکی است. محرمانه بودن و صداقت این ارتباطات می تواند به طور جدی تحت تأثیر حمله هواپیماربایی جلسه قرار گیرد. یادگیری نحوه شناسایی این خطرات یک قابلیت اساسی برای هکر اخلاقی است. سیستم ها اغلب به طور ناامن ساخته می شوند و به راحتی این نقص ها را برملا می کنند. برعکس ، با استفاده از الگوهای ساده در داخل برنامه ، در برابر خطرات معمولاً می توان از آن دفاع کرد. این دوره هم خطرات و هم دفاع را پشت سر می گذارد. این دوره بخشی از سری اخلاقی هک است. http://blog.pluralsight.com/learning-path-ethical-hacking
سرفصل ها و درس ها
درک جلسه هواپیماربایی
Understanding Session Hijacking
-
بررسی اجمالی
Overview
-
هواپیماربایی جلسه ای چیست؟
What Is Session Hijacking?
-
انواع هواپیماربایی جلسه ای
Types of Session Hijacking
-
برداران حمله
Attack Vectors
-
تأثیر هواپیماربایی جلسه ای
The Impact of Session Hijacking
-
Session Rijacking و OWASP Top 10
Session Hijacking and the OWASP Top 10
-
خلاصه
Summary
پایداری جلسه در برنامه های وب
Session Persistence in Web Applications
-
بررسی اجمالی
Overview
-
ماهیت بدون دولت HTTP
The Stateless Nature of HTTP
-
حالت پایدار بیش از HTTP
Persisting State Over HTTP
-
پایداری جلسه در کوکی ها
Session Persistence in Cookies
-
ماندگاری جلسه در URL
Session Persistence in the URL
-
ماندگاری جلسه در زمینه های فرم پنهان
Session Persistence in Hidden Form Fields
-
خلاصه
Summary
جلسات هواپیماربایی در برنامه های وب
Hijacking Sessions in Web Applications
-
بررسی اجمالی
Overview
-
ربودن کوکی ها با برنامه نویسی Cross Site
Hijacking Cookies with Cross Site Scripting
-
شناسه های جلسه مبتنی بر کوکی در گزارش ها
Exposed Cookie Based Session IDs in Logs
-
شناسه های جلسه مبتنی بر URL در گزارش ها
Exposed URL Based Session IDs in Logs
-
درز اطلاعات URL با جلسات مداوم در مراجعه کننده
Leaking URL Persisted Sessions in the Referrer
-
جلسه بو کردن
Session Sniffing
-
رفع جلسه
Session Fixation
-
شناسه های جلسه اجبار بی رحمانه
Brute Forcing Session IDs
-
اهدای جلسه
Session Donation
-
خلاصه
Summary
شبکه و سطح سرویس گیرنده هواپیماربایی
Network and Client Level Session Hijacking
-
بررسی اجمالی
Overview
-
درک TCP
Understanding TCP
-
مرور دست دادن سه طرفه در Wireshark
Reviewing the Three-way Handshake in Wireshark
-
تولید و پیش بینی اعداد توالی TCP
Generation and Predictability of TCP Sequence Numbers
-
هواپیماربایی کور
Blind Hijacking
-
مردی در جلسه میانی استشمام می کند
Man in the Middle Session Sniffing
-
جعل IP
IP Spoofing
-
هواپیماربایی UDP
UDP Hijacking
-
مرد در حملات مرورگر
Man in the Browser Attacks
-
هواپیماربایی در سطح جلسه شبکه
Network Level Session Hijacking in the Wild
-
خلاصه
Summary
کاهش خطر هواپیماربایی در جلسه
Mitigating the Risk of Session Hijacking
-
بررسی اجمالی
Overview
-
از شناسه های جلسه قوی استفاده کنید
Use Strong Session IDs
-
شناسه های جلسه را از URL دور نگه دارید
Keep Session IDs Out of the URL
-
از شناسه جلسه برای Auth استفاده مجدد نکنید
Don’t Reuse Session ID for Auth
-
همیشه کوکی های شناسه جلسه را فقط به عنوان HTTP پرچم گذاری کنید
Always Flag Session ID Cookies as HTTP Only
-
از Transport Layer Security استفاده کنید
Use Transport Layer Security
-
همیشه کوکی های شناسه جلسه را به عنوان امن پرچم گذاری کنید
Always Flag Session ID Cookies as Secure
-
انقضا جلسه و استفاده از کوکی های جلسه
Session Expiration and Using Session Cookies
-
غیرفعال کردن جلسات کشویی را در نظر بگیرید
Consider Disabling Sliding Sessions
-
کاربران را ترغیب کنید تا از سیستم خارج شوند
Encourage Users to Log Out
-
دوباره احراز هویت قبل از اقدامات کلیدی را انجام دهید
Re-authenticate Before Key Actions
-
خلاصه
Summary
خودکار حملات هواپیماربای جلسه
Automating Session Hijack Attacks
-
بررسی اجمالی
Overview
-
دستکاری شناسه های جلسه با OWASP ZAP
Manipulating Session IDs with OWASP ZAP
-
تست قدرت نشانه نشست با Burp Suite
Testing Session Token Strength with Burp Suite
-
تست تجزیه و تحلیل پویا با NetSparker
Dynamic Analysis Testing with NetSparker
-
ابزارهای دیگر
Other Tools
-
خلاصه
Summary
نمایش نظرات