تست امنیتی سرتاسری: OWASP ،Burp Suite ،Nmap ،Vooki

آنچه یاد خواهید گرفت:

• درک اصول معماری کلاینت-سرور وب و مدل‌های اپلیکیشن سازمانی 3 لایه
• یادگیری چیستی APIها، ساختار آن‌ها و چگونگی کارکرد REST & SOAP APIها در سیستم‌های دنیای واقعی
• کسب دانش عمیق درباره پروتکل‌های HTTP/HTTPS، هدرها، کوکی‌ها و چرخه‌های درخواست-پاسخ
• بررسی و تحلیل آسیب‌پذیری‌های OWASP Top 10 وب و API از طریق تمرین‌های عملی و در لحظه
• راه‌اندازی و تست اپلیکیشن های آسیب‌پذیر محبوب مانند OWASP Juice Shop ،Web Goat ،Parabank و موارد دیگر
• انجام اسکن پورت با استفاده از Nmap/Zenmap برای کشف پورت‌های باز، فیلتر شده و بسته
• نصب و استفاده از Burp Suite برای انجام تست امنیتی دستی و تست نفوذ
• ضبط، رهگیری و دستکاری درخواست‌ها/پاسخ‌های HTTP با استفاده از ابزارهای Burp مانند Proxy ،Repeater ،Intruder
• اسکن REST و SOAP APIها برای یافتن آسیب‌پذیری‌ها با استفاده از ابزار تست امنیتی Vooki
• تست فایل‌های APK اندروید برای یافتن نقص‌های امنیتی با استفاده از Yazhini ،Dex2Jar و JD-GUI
• اسکن مخازن کد متن‌باز برای یافتن آسیب‌پذیری‌ها با استفاده از Snyk و تفسیر گزارش‌های SAST
• تولید گزارش‌های دقیق تست امنیتی برای وب‌سایت‌ها، APIها و اپلیکیشن‌های اندروید

پیش‌نیازهای دوره

• درک اولیه از چگونگی کار وب اپلیکیشن ها (مدل کلاینت-سرور مفید است)
• آشنایی با مفاهیم تست نرم‌افزار یا QA (الزامی نیست اما توصیه می‌شود)
• بدون نیاز به دانش قبلی تست امنیتی - تمام ابزارها و مفاهیم از ابتدا توضیح داده می‌شوند.
• یک ماشین ویندوز/لینوکس با دسترسی به اینترنت برای نصب و اجرای ابزارهای تست امنیتی
• تمایل به یادگیری از طریق تمرین عملی با استفاده از اپلیکیشن های آسیب‌پذیر دنیای واقعی

توضیحات دوره

این دوره یک سفر عمیق و عملی به دنیای تست امنیتی وب اپلیکیشن و API ارائه می‌دهد و مفاهیم اساسی را با تمرین‌های کاربردی با استفاده از اپلیکیشن های آسیب‌پذیر دنیای واقعی و ابزارهای استاندارد صنعت ترکیب می‌کند. از درک اصول معماری وب و پروتکل‌های HTTP تا بررسی آسیب‌پذیری‌های OWASP Top 10، برنامه درسی یک نقشه راه جامع برای تسلط به امنیت وب و API فراهم می‌کند.

فراگیران با انواع مختلف APIها از جمله REST و SOAP، همراه با تکنیک‌های حیاتی تست امنیتی با استفاده از ابزارهایی مانند Burp Suite ،Vooki Yazhini ،Nmap/Zenmap و Snyk آشنا خواهند شد. دانشجویان یاد می‌گیرند چگونه حملات را شبیه‌سازی کنند، آسیب‌پذیری‌ها را شناسایی نمایند و چگونگی عملکرد اپلیکیشن های سازمانی را در لایه‌های فرانت‌اند، بک‌اند و پایگاه داده درک کنند.

علاوه بر این، دوره شامل راه‌اندازی و اکسپلویتیشن از اپلیکیشن های عمداً آسیب‌پذیر محبوب مانند OWASP Juice Shop ،Web Goat و موارد دیگر است. با تمرکز قوی بر تجربه عملی، این دوره همچنین تست امنیتی APK اندروید و اسکن کد متن‌باز برای یافتن آسیب‌پذیری‌ها را پوشش می‌دهد.

چه مبتدی باشید و چه علاقه‌مند به امنیت، این دوره به شما کمک می‌کند تا در درک، شناسایی و کاهش نقص‌های امنیتی در وب اپلیکیشن‌ها و APIهای مدرن اعتماد به نفس کسب کنید.

این دوره برای چه کسانی مناسب است؟

• تسترهای دستی و اتوماسیون که می‌خواهند وارد حوزه تست امنیتی شوند.
• مهندسان QA علاقه‌مند به یادگیری امنیت API و ارزیابی آسیب‌پذیری وب
• مبتدیان در امنیت سایبری که به دنبال تجربه عملی و کاربردی هستند.
• توسعه‌دهندگانی که می‌خواهند نقص‌های امنیتی رایج در پیاده‌سازی‌های وب و API را درک کنند.
• دانشجویان یا تازه فارغ‌التحصیلانی که به دنبال ایجاد اصول قوی در امنیت وب اپلیکیشن هستند.
• هر کسی که برای نقش‌هایی مانند تستر امنیت، تستر نفوذ یا هکر قانونمند آماده می‌شود.
• مربیان و مدرسانی که به دنبال ارائه مفاهیم و ابزارهای امنیتی بلادرنگ هستند.