چگونه دوره های آموزش هک وب سایت را یاد بگیریم؟ از چه دوره ای می توانیم تبدیل به یک متخصص تست نفوذ یا هکر وب سایت شویم؟ چه دوره های آموزشی هک وبی در فضای مجازی وجود دارد؟ از کجا هک کردن وب سایت را شروع کنیم؟ یادگیری هک و نفوذ به اپلیکیشن های تحت وب با چه دوره هایی شروع می شود؟ نقشه راه یادگیری هک و نفوذ به وب چیست؟ پاسخ همه این سوالات به همراه مسیر راه یادگیری هک و نفوذ و آموزش تست نفوذ وب را می توانید در این مقاله مطالعه کنید.
تست نفوذ وب و Web Application یا همان وب هکینگ قانونمند یکی از پرطرفدارترین و پر مخاطب ترین حوزه های امنیت ، Security و تست نفوذ می باشد. حوزه امنیت و Security نیز مانند سایر حوزه های تخصصی IT به شاخه های مختلفی تقسیم می شود. به عنوان مثال 3 شاخه کلی برای حوزه امنیت متصور می باشد که شامل :
اما بسیاری از دانشجویان و علاقه مندان به حوزه امنیت و Security شاخه دوم یعنی Web Application Pentest | Web server Pentest | وب هکینگ قانونمند را انتخاب می کنند .
با توجه به اهمیت شاخه تست نفوذ وب و با توجه به دلایل مذکور فوق ، یکی از دغدغه ها و فکر مشغولی های دانشجویان و کاربران این حوزه ، داشتن مسیر راه ، Road Map و انتخاب درست چگونگی یادگیری تخصصی این شاخه می باشد. تقریبا تمامی کمپانی ها و شرکت های ارائه دهنده دوره های امنیت، کتاب هایی در حوزه تست نفوذ وب و Web Application را ارائه داده اند.
اما قوی ترین و حرفه ای ترین کمپانی که به صورت کامل ، حرفه ای و جامع ، از مقدماتی تا حرفه ای( تخصصی) ، مرحله به مرحله و همچنین به صورت کاملا عملی و لابراتوار محور شاخه تست نفوذ وب و Web Application را تدریس نموده است کمپانی و شرکت SANS می باشد. این شرکت 2 دوره به نام های SANS 542 و SANS 642 را در حوزه تست نفوذ وب به دنیا معرفی نموده است .
اما همانطور که مستحضر هستید معادل فارسی که دقیقا تمامی مفاهیم و مطالب موجود در این دو دوره را به صورت کامل و جامع بیان کرده باشد ، بسیار کم است. همچنین در کلاس های حضوری نیز با توجه به اینکه سطح دانش همه دانشجویان در این حوزه یکسان نیست و به دلیل زمان زیادی که برای حل تمرین بر روی لابراتوار ها صرف می شود و همچنین زمان استراحت در نظر گرفته شده ، اساتید محترم قادر به پوشش کامل این قبیل دوره های نمی باشند . لازم به ذکر است هزینه بالای دوره های حضوری نیز خود دلیلی بر گرایش دانشجویان به سمت دوره های آفلاین و از قبل ضبط شده و Capture شده می باشد.
دوره sans 542 | دوره GWAP (GIAC Web Application Penetration Tester) یا دوره Web hacking | وب هکینگ | Web Pentest کامل ترین دوره تست نفوذ وب (Web Application Pentest) می باشد . این دوره متعلق به کمپانی SANS بوده و در این دوره انواع حملات و آسیب پذیری های وب به صورت مقدماتی تا حرفه ای به صورت عملی (Labs) آموزش داده خواهد شد .
دوره sans 542 (GWAPT) به افراد و دانشجویان این توانایی را خواهد داد که پس از گذراندن این دوره به صورت عملی و براساس Lab های طراحی شده ، انواع معماری و ساختار وب ،آسیب پذیری های وب سایت ها و Web Apllication ها را شناسایی و تحلیل نموده ، هچینین در این دوره افراد توانایی Exploit کردن و اکسپلویت نویسی آسیب پذیری های تحت وب به زبان هابی javaScript , Python و php را خواهد داشت .
این دوره جزء دوره های تخصصی حوزه امنیت محسوب می شود و به صورت کاملا حرفه ای برای افرادی که قصد شرکت در پروژه های تست نفوذ وب و سامانه ها و Application های وب را دارند بسیار مناسب می باشد . حتی برنامه نویسان تحت وب می توانند از این دوره برای کد نویسی امن و Secure استفاده نمایند.
https://tosinso.com/courses/web-hacking-sans-542
دوره SANS 642 | Advanced WebApp Penetration testing | دوره تست نفوذ پیشرفته وب | وب هکینگ پیشرفته ، پیشرفته ترین و حرفه ای ترین دوره تست نفوذ پیشرفته وب و Web application ها می باشد.این دوره متعلق به کمپانی sans بوده و در این دوره علاوه بر ارائه تکنیک های پیشرفته حملات و تست نفوذ های دوره sans 542 ، تست نفوذ و هک جدیدترین ساختار ها و تکنولوژی های وب مانند : NoSqlinjection بر روی دیتا بیس های غیر رابطه ای ، انواع حملات NodeJs ، آسیب پذیری SSTI ، CSRF پیشرفته با Ajax ، CMS Hacking ، WebSocket Hacking ، PHP unserialize attack ، انواع کرک های پیشرفته ترافیک های رمز شده در وب شامل ECB , CBC , Padding Oracel ، Bypass کردن WAF و IPS ، PHP Juggling و آسیب پذیری های پیشرفته logical و خیلی دیگر از حملات و آسیب پذیری های نوظهور ارائه می شود.
این دوره قوی ترین و پیشرفته ترین دوره تست نفوذ و هک وب در دنیا محسوب می شود و جزء دوره های تخصصی حوزه امنیت محسوب می شود که می توان گفت این دوره ، دوره پیشرفته می باشد که حتما دانشجویان می بایست دوره SANS 542 یعنی دوره مقدماتی این دوره را پشت سر گذاشته باشند.
https://tosinso.com/courses/advanced-web-penetration-testing-sans-642
دانشجویان علاقه مند به شاخه تست نفوذ وب و وبسایت ها می بایست به ترتیب دوره های زیر را پشت سر بگذرانند.
1- پیشنهاد می گردد اگر دانشجویان اطلاعاتی کلی و عمومی در حوزه امنیت را ندارند و به تازگی وارد این حوزه شده اند و یا اینکه به عنوان مثال دوره های مقدماتی امنیت و همتراز انها مانند Security + | سکیوریتی پلاس را پشت سر نگذاشته اند ، حتما دوره Security plus | سکیوریتی پلاس را پاس نمایند و یا اینکه خودشان مفاهیم کلی و عمومی امنیت را مطالعه نماید.
https://tosinso.com/courses/comptia-security-plus-zero-to-hero
2- در مرحله دوم دانشجویان می بایست دوره SANS 542 ارائه شده توسط مهندس محمدی در وب سایت توسینسو را تهیه و مطالعه نموده و حتما لابراتورا ها و CTF های در نظر گرفته شده برای این دوره را انجام دهند.
https://tosinso.com/courses/web-hacking-sans-542
3- در مرحله سوم دانشجویان می باست دوره SANS 642 ارائه شده توسط مهندس محمدی در وب سایت توسینسو را تهیه و مطالعه نموده و حتما لابراتوارها و CTF های در نظر گرفته شده برای این دوره را انجام دهند.
https://tosinso.com/courses/advanced-web-penetration-testing-sans-642
4- در مرحله سوم دوره DVWA ارائه شده توسط مهندس محمدی در وب سایت را تهیه و مطلالعه نمایند چرا که مفاهیم و سرفصل های ارائه شده در این دوره بسیار کاربردی و مهم می باشد.
https://tosinso.com/courses/web-penetration-testing-with-dvwa
4-در مرحله چهارم و مرحله نهایی شما برای تکمیل کردن دانش خود در حوزه تست نفوذ وب و همچنین آشنایی با می بایست دوره Owasp Top 10 یا همان Bwapp را پاس نمایند.
https://tosinso.com/courses/owasp-top-10-bwapp
دانشجویان بعد از گذراندن این 4 به صورت کامل و حرفه ای توانایی کامل برای حضور در بازار کار بیرون و دریافت انواع پروژه های تست نفوذ وب ، وب سایت ، سامانه های وب و انواع ساختار ها وب و Web application ها را دارند.