دسترسی سریع:

مسیر:

صفحه اصلی

لطفا جهت اطلاع از آخرین دوره ها و اخبار سایت در کانال تلگرام عضو شوید.

آموزش هک اخلاقی: هواپیماربایی جلسه ای

Ethical Hacking: Session Hijacking

نکته: آخرین آپدیت رو دریافت میکنید حتی اگر این محتوا بروز نباشد.

نمونه ویدیویی برای نمایش وجود ندارد.

توضیحات دوره: Pluralsight یک شریک رسمی یا مرکز آموزش معتبر EC-Council نیست. این دوره به طور عمیق خطرات ناشی از هواپیماربایی را طی می کند و به شما کمک می کند تا با یک درک قوی از هواپیماربایی جلسه هکر اخلاقی شوید. Pluralsight یک شریک رسمی یا مرکز آموزش معتبر EC-Council نیست. تداوم جلسه یک مفهوم اساسی در سیستم های اطلاعاتی است. به عنوان مثال در وب ، که به پروتکل HTTP بدون حالت وابسته است ، تداوم جلسه یکی از اجزای اصلی ویژگی های مختلف از سبد خرید گرفته تا امکان ورود به سیستم است. در سطح پایین تر در سطح شبکه ، پروتکل TCP به جلسات ارتباط بین ماشین هایی مانند مشتری و سرور متکی است. محرمانه بودن و صداقت این ارتباطات می تواند به طور جدی تحت تأثیر حمله هواپیماربایی جلسه قرار گیرد. یادگیری نحوه شناسایی این خطرات یک قابلیت اساسی برای هکر اخلاقی است. سیستم ها اغلب به طور ناامن ساخته می شوند و به راحتی این نقص ها را برملا می کنند. برعکس ، با استفاده از الگوهای ساده در داخل برنامه ، در برابر خطرات معمولاً می توان از آن دفاع کرد. این دوره هم خطرات و هم دفاع را پشت سر می گذارد. این دوره بخشی از سری اخلاقی هک است. http://blog.pluralsight.com/learning-path-ethical-hacking

سرفصل ها و درس ها

درک جلسه هواپیماربایی Understanding Session Hijacking

بررسی اجمالی Overview
هواپیماربایی جلسه ای چیست؟ What Is Session Hijacking?
انواع هواپیماربایی جلسه ای Types of Session Hijacking
برداران حمله Attack Vectors
تأثیر هواپیماربایی جلسه ای The Impact of Session Hijacking
Session Rijacking و OWASP Top 10 Session Hijacking and the OWASP Top 10
خلاصه Summary

پایداری جلسه در برنامه های وب Session Persistence in Web Applications

بررسی اجمالی Overview
ماهیت بدون دولت HTTP The Stateless Nature of HTTP
حالت پایدار بیش از HTTP Persisting State Over HTTP
پایداری جلسه در کوکی ها Session Persistence in Cookies
ماندگاری جلسه در URL Session Persistence in the URL
ماندگاری جلسه در زمینه های فرم پنهان Session Persistence in Hidden Form Fields
خلاصه Summary

جلسات هواپیماربایی در برنامه های وب Hijacking Sessions in Web Applications

بررسی اجمالی Overview
ربودن کوکی ها با برنامه نویسی Cross Site Hijacking Cookies with Cross Site Scripting
شناسه های جلسه مبتنی بر کوکی در گزارش ها Exposed Cookie Based Session IDs in Logs
شناسه های جلسه مبتنی بر URL در گزارش ها Exposed URL Based Session IDs in Logs
درز اطلاعات URL با جلسات مداوم در مراجعه کننده Leaking URL Persisted Sessions in the Referrer
جلسه بو کردن Session Sniffing
رفع جلسه Session Fixation
شناسه های جلسه اجبار بی رحمانه Brute Forcing Session IDs
اهدای جلسه Session Donation
خلاصه Summary

شبکه و سطح سرویس گیرنده هواپیماربایی Network and Client Level Session Hijacking

بررسی اجمالی Overview
درک TCP Understanding TCP
مرور دست دادن سه طرفه در Wireshark Reviewing the Three-way Handshake in Wireshark
تولید و پیش بینی اعداد توالی TCP Generation and Predictability of TCP Sequence Numbers
هواپیماربایی کور Blind Hijacking
مردی در جلسه میانی استشمام می کند Man in the Middle Session Sniffing
جعل IP IP Spoofing
هواپیماربایی UDP UDP Hijacking
مرد در حملات مرورگر Man in the Browser Attacks
هواپیماربایی در سطح جلسه شبکه Network Level Session Hijacking in the Wild
خلاصه Summary

کاهش خطر هواپیماربایی در جلسه Mitigating the Risk of Session Hijacking

بررسی اجمالی Overview
از شناسه های جلسه قوی استفاده کنید Use Strong Session IDs
شناسه های جلسه را از URL دور نگه دارید Keep Session IDs Out of the URL
از شناسه جلسه برای Auth استفاده مجدد نکنید Don’t Reuse Session ID for Auth
همیشه کوکی های شناسه جلسه را فقط به عنوان HTTP پرچم گذاری کنید Always Flag Session ID Cookies as HTTP Only
از Transport Layer Security استفاده کنید Use Transport Layer Security
همیشه کوکی های شناسه جلسه را به عنوان امن پرچم گذاری کنید Always Flag Session ID Cookies as Secure
انقضا جلسه و استفاده از کوکی های جلسه Session Expiration and Using Session Cookies
غیرفعال کردن جلسات کشویی را در نظر بگیرید Consider Disabling Sliding Sessions
کاربران را ترغیب کنید تا از سیستم خارج شوند Encourage Users to Log Out
دوباره احراز هویت قبل از اقدامات کلیدی را انجام دهید Re-authenticate Before Key Actions
خلاصه Summary

خودکار حملات هواپیماربای جلسه Automating Session Hijack Attacks

بررسی اجمالی Overview
دستکاری شناسه های جلسه با OWASP ZAP Manipulating Session IDs with OWASP ZAP
تست قدرت نشانه نشست با Burp Suite Testing Session Token Strength with Burp Suite
تست تجزیه و تحلیل پویا با NetSparker Dynamic Analysis Testing with NetSparker
ابزارهای دیگر Other Tools
خلاصه Summary

برای ارسال نظر ثبت نام کنید.

نمایش نظرات

جزییات دوره

زمان دوره: 3h 27m

تعداد ویدیو ها: 53

شرکت: Pluralsight (پلورال سایت)

تاریخ انتشار مرجع: (آخرین آپدیت)

بازدید مرجع : 268

امتیاز مرجع: 4.7 از 5

فایل تمرین: دارد

زیرنویس زبان اصلی: دارد

زیرنویس فارسی: (توسط هوش مصنوعی) دارد

مدرس: Troy Hunt

لینک کوتاه این دوره

https://donyad.com/d/eda5

جهت دریافت آخرین اخبار و آپدیت ها در کانال تلگرام عضو شوید.

نرم افزارهای مورد نیاز

Google Chrome Browser

Internet Download Manager

Pot Player

Winrar

Troy Hunt

تروی هانت یک مدیر منطقه ای مایکروسافت و MVP برای امنیت توسعه دهنده ، یک ASPInsider و یک نویسنده تمام وقت برای Pluralsight است - یک رهبر در آموزش آنلاین برای فن آوری و متخصصان خلاق. Troy از همان روزهای ابتدایی وب در حال ساخت نرم افزار برای مرورگرها بوده و از توانایی استثنایی در تقسیم موضوعات پیچیده در توضیحات قابل استفاده برخوردار است. این امر باعث شده است تروی در صنعت امنیت به عنوان یک رهبر فکری در صنعت شناخته شود و بیش از بیست دوره با رتبه برتر برای Pluralsight تولید کند. در حال حاضر ، تروی به شدت درگیر است آیا من pwned شده ام؟ (HIBP) یک سرویس رایگان است که اطلاعات نقض را جمع می کند و به افراد کمک می کند تا تأثیرات بالقوه ناشی از فعالیت وب مخرب را ایجاد کنند. Troy بطور مرتب درباره امنیت وبلاگ می نویسد و سخنران مکرری در کنفرانسهای صنعت در سرتاسر جهان و رسانه ها برای بحث در مورد طیف گسترده ای از فناوری ها است. تروی در چندین مقاله با نشریاتی از جمله فوربس ، مجله TIME ، Mashable ، PCWorld ، ZDNet و Yahoo! فن آوری گذشته از فناوری و امنیت ، تروی یک بازیکن اسنوبورد ، موج سوار و تنیس باز است

دنیاد

آموزش هک اخلاقی: هواپیماربایی جلسه ای

Ethical Hacking: Session Hijacking

درک جلسه هواپیماربایی Understanding Session Hijacking

بررسی اجمالی Overview

هواپیماربایی جلسه ای چیست؟ What Is Session Hijacking?

انواع هواپیماربایی جلسه ای Types of Session Hijacking

برداران حمله Attack Vectors

تأثیر هواپیماربایی جلسه ای The Impact of Session Hijacking

Session Rijacking و OWASP Top 10 Session Hijacking and the OWASP Top 10

خلاصه Summary

پایداری جلسه در برنامه های وب Session Persistence in Web Applications

بررسی اجمالی Overview

ماهیت بدون دولت HTTP The Stateless Nature of HTTP

حالت پایدار بیش از HTTP Persisting State Over HTTP

پایداری جلسه در کوکی ها Session Persistence in Cookies

ماندگاری جلسه در URL Session Persistence in the URL

ماندگاری جلسه در زمینه های فرم پنهان Session Persistence in Hidden Form Fields

خلاصه Summary

جلسات هواپیماربایی در برنامه های وب Hijacking Sessions in Web Applications

بررسی اجمالی Overview

ربودن کوکی ها با برنامه نویسی Cross Site Hijacking Cookies with Cross Site Scripting

شناسه های جلسه مبتنی بر کوکی در گزارش ها Exposed Cookie Based Session IDs in Logs

شناسه های جلسه مبتنی بر URL در گزارش ها Exposed URL Based Session IDs in Logs

درز اطلاعات URL با جلسات مداوم در مراجعه کننده Leaking URL Persisted Sessions in the Referrer

جلسه بو کردن Session Sniffing

رفع جلسه Session Fixation

شناسه های جلسه اجبار بی رحمانه Brute Forcing Session IDs

اهدای جلسه Session Donation

خلاصه Summary

شبکه و سطح سرویس گیرنده هواپیماربایی Network and Client Level Session Hijacking

بررسی اجمالی Overview

درک TCP Understanding TCP

مرور دست دادن سه طرفه در Wireshark Reviewing the Three-way Handshake in Wireshark

تولید و پیش بینی اعداد توالی TCP Generation and Predictability of TCP Sequence Numbers

هواپیماربایی کور Blind Hijacking

مردی در جلسه میانی استشمام می کند Man in the Middle Session Sniffing

جعل IP IP Spoofing

هواپیماربایی UDP UDP Hijacking

مرد در حملات مرورگر Man in the Browser Attacks

هواپیماربایی در سطح جلسه شبکه Network Level Session Hijacking in the Wild

خلاصه Summary

کاهش خطر هواپیماربایی در جلسه Mitigating the Risk of Session Hijacking

بررسی اجمالی Overview

از شناسه های جلسه قوی استفاده کنید Use Strong Session IDs

شناسه های جلسه را از URL دور نگه دارید Keep Session IDs Out of the URL

از شناسه جلسه برای Auth استفاده مجدد نکنید Don’t Reuse Session ID for Auth

همیشه کوکی های شناسه جلسه را فقط به عنوان HTTP پرچم گذاری کنید Always Flag Session ID Cookies as HTTP Only

از Transport Layer Security استفاده کنید Use Transport Layer Security

همیشه کوکی های شناسه جلسه را به عنوان امن پرچم گذاری کنید Always Flag Session ID Cookies as Secure

انقضا جلسه و استفاده از کوکی های جلسه Session Expiration and Using Session Cookies

غیرفعال کردن جلسات کشویی را در نظر بگیرید Consider Disabling Sliding Sessions

کاربران را ترغیب کنید تا از سیستم خارج شوند Encourage Users to Log Out

دوباره احراز هویت قبل از اقدامات کلیدی را انجام دهید Re-authenticate Before Key Actions

خلاصه Summary

خودکار حملات هواپیماربای جلسه Automating Session Hijack Attacks

بررسی اجمالی Overview

دستکاری شناسه های جلسه با OWASP ZAP Manipulating Session IDs with OWASP ZAP

تست قدرت نشانه نشست با Burp Suite Testing Session Token Strength with Burp Suite

تست تجزیه و تحلیل پویا با NetSparker Dynamic Analysis Testing with NetSparker

ابزارهای دیگر Other Tools

خلاصه Summary

نمایش نظرات

https://donyad.com/d/eda5