دوره آموزشی OWASP TOP 10 | دوره تست نفوذ وب | دوره Bwapp با تعداد 100 فیلم آموزشی ، یک دوره تکمیلی تست نفوذ وب محسوب می شود . پیش نیاز این دوره ، دوره SANS 542 , دوره DVWA و دوره SANS 642 می باشد.
لیست تمامی دوره ها و شبکه های اجتماعی ما
این دوره با استفاده از یک Insecure Web application به نام Bwapp (buggy web application) که دارای انواع آسیب پذیری های جدید در حوزه وب می باشد ، به شناسایی و تست نفوذ این آسیب پذیری ها براساس استاندارد تعریف شده توسط شرکت OWASP در شاخه تست نفوذ وب یعنی همان استاندارد OWASP TOP 10 می پردازد. در این دوره دانشجویان علاوه بر شناسایی آسیب پذیری ها جدید و نوظهور در حوزه وب ، با تحلیل کدهای های وب برای شناخت دلیل اصلی آسیب پذیری و نحوه امن سازی آنها نیز آشنا می شوند. در این دوره هر آسیب پذیری و سناریوی طراحی شده در 3 سطح ساده ، متوسط و دشوار برای افزایش توانمندی دانش تست نفوذ دانشجویان طراحی شده است. دانشجویان می بایست سعی کنند که آسیب پذیر های طراحی شده در تمامی سطوح مختلف را شناسایی و Exploit نمایند . در این دوره بعضی از سطوح به دلیل استفاده از توابع و Function های امن سازی و کد های Secure قابل Exploit کردن نمی باشد و تحلیل کد های مذکور نیز علاوه بر شناسایی و تست نفوذ آسیب پذیری ها به عنوان یکی دیگر از مفاهیم این دوره بیان می گردد.
این دوره تکمیل کننده دوره های تست نفوذ وب sans 542 , sans 642 , DVWA می باشد. در این دوره تمام آسیب پذیری های وب که در سایر دوره های مذکور به عنوان تمرین به خود دانشجو واگزار شده است یا با جزئیات آنها بیان نشده است، را به صورت کامل بیان می نماید. تقسیم بندی های سایر حملات و آسیب پذیری های وب در قالب سناریوهای آماده در web application آسیب پذیر Bwapp ارائه می شود . در این دوره انواع مختلف حملات و آسیب پذیری های وب به صورت کاملا عملی بیان خواهد شد. در این دوره دانشجویان علاوه بر فرا گرفتن تکنیک های حرفه ای و تکمیلی تست نفوذ وب و آشنایی کامل با جدیدترین آسیب پذیری های و حملات وب که در زیر بخشی از آنها معرفی شده است ، می توانند سطح دانش خود در حوزه ارزیابی و تست نفوذ وب در رابطه با آسیب پذیری های و حملات وب ارائه شده در دوره های قبل ارزیابی نمایند. دانشجویان پس از گذراندن این دوره و البته سایر دوره های تست نفوذ وب مذکور به صورت کامل و حرفه ای تسلط در حوزه تست نفوذ وب (Web Penetration testing) را کسب خواهند نمود.
دوره آموزشی OWASP TOP 10 (Bwapp) چیست ؟
در وب سایت توسینسو 3 دوره تست نفوذ وب به صورت کامل و براساس سرفصل های بین المللی این دوره ها تدریس شده است .
دوره های تست نفوذ SANS 542 و SANS 642 که توسط کمپانی SANS ارائه شده است ، تست نفوذ وب از مقدماتی تا پیشرفته را به صورت عملی و در قالب سناریوهای مختلف بیان می نماید. دوره DVWA هم که یک web application آسیب پذیر می باشد ، هم به عنوان ارزیابی دانشجویان در خصوص دانش فرا گرفته در دوره های SANS 542 و SANS 642 مورد استفاده قرار میگیرد وهم بخشی از آسیب پذیری های جدید که در دوره های SANS بیان نشده را ارائه می دهد. اما همه آسیب پذیری ها و انواع مختلف آنها در دورهای SANS 542 و SANS 642 بیان نشده است . به عبارت دیگر مثلا آسیب پذیری XSS که توسط کمپانی SANS آموزش داده شده است ، اما در مورد انواع حالت ها ممکن آسیب پذیری XSS مثلا وجود آسیب پذیری XSS در قسمت header درخواست ، صحبت نکرده است یا اینکه مفهوم ان در دوره SANS به صورت تئوری بیان شده است . همچنین آسیب پذیری های دیگری مانند Sqlinjection در قالب captcha ، آسیب پذیری Insecure DOR ، آسیب پذیری Cross-Domain-policy ، آسیب پذیری CORS ، انواع حملات DOS بر روی web application ، آسیب پذیری Http parameter Pollution ، انواع XSS در هدر و خیلی آسیب پذیری های تکنیکی که در دوره های SANS بیان نشده است در دوره Bwapp به صورت کامل بیان شده در نتیجه دوستان و دانشجویانی که قصد دارند تست نفوذ وب را از مقدماتی تا پیشرفته ، به صورت کامل کامل فرا بگیرند می بایست علاوه بر 3 دوره قبلی ، دوره Bwapp را نیز تهیه و مطالعه نماید .
در دوره Bwapp | OWASP TOP 10 چه آسیب پذیری هایی معرفی و ارزیابی می شوند ؟
- SQL, HTML, iFrame, SSI, OS Command, PHP, XML, XPath, LDAP, Host Header and SMTP injections
- Cross-Site Scripting (XSS), Cross-Site Tracing (XST) and Cross-Site Request Forgery (CSRF)
- AJAX and Web Services issues (jQuery/JSON/XML/SOAP/WSDL)
- Authentication, authorization and session issues, file upload flaws and backdoor files
- Arbitrary file access, directory traversals, local and remote file inclusions (LFI/RFI)
- Configuration issues: Man-in-the-Middle, cross-domain policy files, information disclosures,...
- HTTP parameter pollution, HTTP response splitting and HTTP verb tampering
- Insecure DistCC, FTP, NTP, Samba, SNMP, VNC and WebDAV configurations
- HTML5 ClickJacking, Cross-Origin Resource Sharing (CORS) and web storage issues
- XML External Entity attacks (XXE) and Server Side Request Forgery (SSRF)
- Heartbleed and Shellshock vulnerability (OpenSSL), Denial-of-Service (DoS) attacks
- Parameter tampering, cookie and password reset poisoning
سلام بله میشه
ممنون استاد
میشه همزمان که دارم sans542 رو یاد بگیرم ازینور با DVWA تمرین کنم ؟
ینی جفتش باهم برم جلو میخام فشرده یاد بگیرم
سلام
بسیار عالی
نه به مشکل می خورید رود مپ وب به این صورت هست
Sans 542
Dvwa
Sans 642
Bwapp
حالا اگر بخوای bwapp رو بری حتما باید ۵۴۲ رو بری
سلام وقت شما بخیر
استاد محمدی عزیز میخاسم بدونمم که من دوره sans 504 و همه دورهای پایه مربوط به امنیت رو گذروندم به جز دوره sans 542 در صورتی که این دوره رو نرفتیم امکان پذیر هست که دوره owasp رو شروع کنیم ؟ ایا به مشکل میخوریم ؟
شما برید و آسیب پذیری های owasp top 10 رو ببینید ، تمام آسیب پذیری های owasp top 10 در این دوره گفته شده . در دوره های sans 542 و sans 642 ریز اتک های وب گفته نشده ما اومدیم و انواع خاص اسیب پذیری های وب که کلیتش در sans گفته شده رو بیان کردیم .
شاید شما همه اینها رو بلد باشید دلیل نمیشه که دوره خوبی نباشه . از نحوه گفتار شما کامل مشخصه که قبلا این دوره رو پشت سر گذاشتید ، خوب طبیعی هست که وقتی یه نفر یه دوره ای رفته چون دیگه براش جذابیت نداره این طور اظهار نظر کنه .
دوره های امنیت توسینسو بهترین دوره های امنیت در تمام موسسات و وب سایت های ایرانی هست تعداد بالای دانشجویان من اینو میگه نزدیک به 7000 هزار دانشجو
پنجاه درصد دوره هم بیان نشده...بیشتر مباحث رو چون در دورهای سانز گفته شده ارجاع ب دیدن و خرید اون دوره میشه...خب اسم این دوره نزارید دوره کامل حداقل