سرفصل‌های دوره تست نفوذ سامانه‌های تحت وب

مقدمه‌ای از نرم‌افزارهای تحت وب (شامل پروتکل HTTP، متدها، درخواست‌ها، سرآیندهای پرکاربرد و غیره)

آشنایی کامل با نرم‌افزار Burp Suite

شناسایی دقیق‌تر هدف (روش‌ها و ابزارهای مورد نیاز)

آشنایی با 10 حمله ارائه شده توسط OWASP

حملات سمت کاربر:

  • آشنایی با جاوا اسکریپت و روش‌ها و تکنیک‌های بایپس کردن در سمت کاربر
  • حمله XSS (راه‌کارها، تکنیک‌ها و روش‌های مقابله)
  • حمله CSRF و سایر حملات سمت کاربر
  • آشنایی با آزمایشگاه‌های موجود برای تست نفوذ
  • معرفی ابزار BeEf و کاربردهای آن
  • حملات مهندسی اجتماعی از طریق حملات سمت کاربر

حملات سمت سرور:

  • حملات تزریق کد SQL (انواع، تکنیک‌ها، مثال‌های واقعی، کارگاه‌ها و ....)
  • آشنایی با ابزارهای تست SQLi
  • آشنایی با حملات تزریق کد و دستور (مثال‌های کاربری، تکنیک‌ها و انواع)
  • حملات دسترسی به فایل‌های سیستمی
  • بررسی سایر حملات پرکاربرد در سمت سرور

در این کلاس سعی شده است تمامی ابزارها و تکنیک‌های مورد نیاز برای ورود به مباحث ارزیابی امنیتی سامانه‌های تحت وب در اختیار افراد قرار داده شود.
بخش‌های در نظر گرفته شده برای کلاس شامل مباحث تئوری، کارگاه‌ها، چالش‌ها، گزارش‌ها، پروژه‌ها و سناریوهای واقعی تحت عنوان "تست نفوذ" است. به طبع تمامی این مباحث در نمره نهایی شخص تاثیر گذاشته و برای صدور گواهی نیاز است تا نمره حداقل مشخص شده توسط افراد دریافت شود.
لازم به ذکر است که علاوه بر مباحث در نظر گرفته شده، امتحانی نیز در قالب مسابقه فتح پرچم (jeopardy یا Attack-based در نظر گرفته شده است که در زمان مناسب اطلاع‌رسانی خواهند شد.)