هک وب اپلیکیشن‌ها و تست نفوذ - هک وب

آنچه یاد خواهید گرفت:

• هک اخلاقی شغل خوبی است، زیرا یکی از بهترین راه‌ها برای تست یک شبکه است.
• هک اخلاقی شامل توافق یک هکر با یک سازمان یا فرد است که به هکر اجازه می‌دهد حملات سایبری به یک سیستم یا شبکه انجام دهد.
• علاوه بر تسلط به مهارت‌های اولیه کامپیوتر و استفاده از خط فرمان، هکرهای اخلاقی باید مهارت‌های فنی را نیز توسعه دهند.
• بسیاری از هکرها از سیستم‌عامل لینوکس (OS) استفاده می‌کنند، زیرا لینوکس یک سیستم‌عامل رایگان و متن‌باز است، به این معنی که هر کسی می‌تواند آن را اصلاح کند.
• هک اخلاقی قانونی است، زیرا هکر اجازه کامل و صریح برای تست آسیب‌پذیری‌های یک سیستم را دارد.
• انواع مختلف هکرها شامل هکرهای کلاه سفید که هکرهای اخلاقی هستند و مجوز هک سیستم‌ها را دارند و هکرهای کلاه سیاه است.
• چه بخواهید اولین شغل خود را در امنیت فناوری اطلاعات بدست آورید، چه بخواهید یک هکر کلاه سفید شوید یا آماده شوید تا امنیت شبکه خانگی خود را بررسی کنید.
• مهارت‌های تست نفوذ شما را به یک تکنسین فناوری اطلاعات با امکان بازاریابی بیشتر تبدیل می‌کند. درک کنید چگونه سرورها، شبکه‌ها و اپلیکیشن‌ها را اکسپلویت کنید.
• تست‌های نفوذ دارای پنج مرحله مختلف هستند. مرحله اول اهداف و دامنه تست و روش‌های تست مورد استفاده را تعریف می‌کند.
• تست نفوذ انواع مختلفی دارد. تست نفوذ داخلی، شبکه داخلی یک سازمان را تست می‌کند.
• تست نفوذ فرایند حمله به شبکه یک سازمان برای پیدا کردن هرگونه آسیب‌پذیری است که ممکن است وجود داشته باشد و باید برطرف شود.
• یک محیط مجازی راه‌اندازی کنید تا بدون تأثیر بر سیستم‌های اصلی تمرین کنید.
• نصب کالی لینوکس - تست نفوذ توزیع دبیان
• نصب سیستم مجازی که دارای وب اپلیکیشن‌های آسیب‌پذیر است.
• اصطلاحات اولیه، استانداردها، سرویس‌ها، پروتکل‌ها و فناوری‌ها
• پروتکل HTTP، درخواست‌ها و پاسخ‌ها
• HTTPS و TLS SSL
• رهگیری ترافیک HTTP با یک پروکسی شخصی
• جمع‌آوری اطلاعات حساس در وب‌سایت‌ها
• پیدا کردن آسیب‌پذیری‌های شناخته‌شده با پایگاه داده آسیب‌پذیری
• پیدا کردن آسیب‌پذیری‌های شناخته‌شده با موتورهای جستجو
• پایگاه داده هک گوگل (GHDB)
• کشف دایرکتوری‌ها و فایل‌های منتشر نشده مرتبط با وب‌سایت هدف
• دستکاری ورودی و خروجی
• رویکردهای اعتبارسنجی ورودی و خروجی
• کشف و اکسپلویت آسیب‌پذیری‌های XSS بازتابی
• کشف و اکسپلویت آسیب‌پذیری‌های XSS ذخیره شده
• کشف آسیب‌پذیری‌های XSS مبتنی بر DOM
• جلوگیری از آسیب‌پذیری‌های XSS
• کشف و اکسپلویت آسیب‌پذیری‌های SQL injection و جلوگیری از آن‌ها
• دور زدن مکانیزم‌های لاگین با SQL injection و لاگین در یک وب‌سایت بدون رمز عبور
• یافتن اطلاعات بیشتر در یک پایگاه داده با آسیب‌پذیری‌های SQL injection: پایگاه داده‌ها، جداول و داده حساس مانند رمزهای عبور
• کشف و اکسپلویت blind SQL injections
• جلوگیری از SQL injection
• روش‌ها و استراتژی‌های احراز هویت
• دور زدن مکانیزم‌های احراز هویت
• پیدا کردن نام‌های کاربری و رمزهای عبور ناشناخته: حملات بروت فورس و دیکشنری
• راه‌اندازی یک حمله دیکشنری
• دسترسی به فرایندهای غیرمجاز
• ترفیع امتیازی
• دسترسی به داده حساس با حمله پیمایش مسیر
• مکانیزم مدیریت سشن
• جعل هویت قربانی با حمله تثبیت سشن
• کشف و اکسپلویت CSRF (جعل درخواست بین سایتی)
• در بسیاری از موقعیت‌ها، یک شبکه تنها به این دلیل غیرقابل نفوذ به نظر می‌رسد که سال‌ها به حمله‌ای تن نداده است.
• یک هکر اخلاقی همچنین گاهی به عنوان یک هکر کلاه سفید شناخته می‌شود. افراد زیادی به هکرهای اخلاقی وابسته‌اند تا نقاط ضعف شبکه‌های خود را شناسایی کنند.
• هکرهای اخلاقی و کارشناسان امنیت این تست‌ها را انجام می‌دهند تا هرگونه نقاط ضعف موجود در امنیت سیستم را پیدا کنند.

پیش‌نیازهای دوره

• 4 گیگابایت (گیگابایت) RAM یا بالاتر (8 گیگابایت توصیه می‌شود)
• پردازنده سیستم 64 بیتی الزامی است.
• 10 گیگابایت یا بیشتر فضای دیسک
• فعالسازی فناوری مجازی‌سازی در تنظیمات BIOS، مانند "Intel-VTx"
• مرورگرهای مدرن مانند گوگل کروم (آخرین نسخه)، موزیلا فایرفاکس (آخرین نسخه) و مایکروسافت اج (آخرین نسخه)
• تمام موارد ارجاع داده شده در این دوره رایگان هستند.
• یک کامپیوتر برای نصب تمام نرم‌افزارها و ابزارهای رایگان مورد نیاز برای تمرین
• تمایل قوی به درک ابزارها و تکنیک‌های هکرها
• توانایی دانلود و نصب تمام نرم‌افزارها و ابزارهای رایگان مورد نیاز برای تمرین
• اخلاق کاری قوی، تمایل به یادگیری و هیجان زیاد در مورد درب پشتی دنیای دیجیتال
• هیچ چیز دیگری نیاز ندارید! فقط شما، کامپیوترتان و جاه‌طلبی شما برای اینکه امروز شروع به کار کنید.

توضیحات دوره

به "هک وب اپلیکیشن‌ها و تست نفوذ - هک وب" خوش آمدید.

در این دوره، هک اخلاقی وب، باگ‌باونتی، تست نفوذ و جلوگیری از آسیب‌پذیری‌ها را بیاموزید.

این دوره برای مبتدیان است، بنابراین نیازی به دانش قبلی در مورد هک، تست نفوذ یا توسعه اپلیکیشن‌ها ندارید. شما یاد خواهید گرفت چگونه از ابتدا و به صورت "اخلاقی" وب‌سایت‌ها را هک کنید.

مهارت‌های تست نفوذ شما را به یک تکنسین فناوری اطلاعات با امکان بازاریابی بیشتر تبدیل می‌کند. درک کنید چگونه سرورها، شبکه‌ها و اپلیکیشن‌ها را اکسپلویت کنید تا بتوانید از اکسپلویت مخرب جلوگیری کنید.

از آنجایی که این دوره از ابزارها و پلتفرم‌های رایگان استفاده می‌کند، نیازی به خرید هیچ‌گونه ابزار یا اپلیکیشنی ندارید.

شما تمرین‌های عملی برای کشف و اکسپلویت رایج‌ترین آسیب‌پذیری‌ها مانند XSS ،SQL injection (اسکریپت‌نویسی بین سایتی) و CSRF (جعل درخواست بین سایتی) خواهید داشت.

قبل از شروع یادگیری چگونگی هک "اخلاقی" یک وب‌سایت، شما یاد خواهید گرفت چگونه یک محیط لابراتوار راه‌اندازی کنید و ماشین‌های مجازی مورد نیاز مانند کالی لینوکس و OWASP Broken Web Applications را نصب کنید. این کار به شما این امکان را می‌دهد که تمرین کنید و به طور "ایمن" هک کنید بدون اینکه بر سیستم‌های اصلی شما تأثیر بگذارد.

سپس، شما اصطلاحات اولیه، استانداردها، فناوری‌ها و پروتکل‌های مربوط به وب اپلیکیشن‌ها، HTML ،URL ،HTTP و غیره را خواهید آموخت.

وقتی برای شروع هک آماده شوید، به جمع‌آوری اطلاعات خواهید پرداخت. علاوه بر این، یاد خواهید گرفت چگونه از موتورهای جستجو برای بررسی وجود آسیب‌پذیری‌های شناخته‌شده در وب‌سایت استفاده کنید. در حین کشف وب‌سایت، شما پیکربندی‌ها را تحلیل می‌کنید تا ببینید که آیا آن‌ها باعث ایجاد آسیب‌پذیری می‌شوند یا خیر.

سپس، شما مهم‌ترین قسمت هک وب اپلیکیشن‌ها را خواهید آموخت، اینکه چگونه فیلدهای ورودی و خروجی‌های تولید شده توسط اپلیکیشن را دستکاری کنید. شما مشهورترین و خطرناک‌ترین آسیب‌پذیری‌ها از جمله SQL injection و اسکریپت‌نویسی بین سایتی (XSS) را در این بخش بررسی خواهید کرد.

شما فقط یاد نخواهید گرفت چگونه آسیب‌پذیری‌ها را شناسایی کنید، بلکه یاد خواهید گرفت چگونه آن‌ها را اکسپلویت کنید و این نقاط ضعف را هک کنید. علاوه بر این، روش‌های جلوگیری از هک این نقاط ضعف را نیز یاد خواهید گرفت.

بعد از آن، شما یاد خواهیی گرفت چگونه اشکالات مجوز، احراز هویت و مدیریت سشن را کشف کنید. اینکه چگونه نام‌های کاربری و رمزهای عبور را با حملات بروت فورس پیدا کنید، چگونه یک سشن را فیکس کنید، چگونه ترفیع امتیازی انجام دهید، چگونه CSRF (جعل درخواست بین سایتی) را کشف و اکسپلویت کنید و غیره را شما یاد خواهید گرفت.

در این دوره، شما اطلاعات پاک و خالصی را خواهید یافت. ما هنگام تهیه این آموزش به طور ویژه از صحبت و معطلی غیرضروری اجتناب کردیم و این بخش‌ها را برای شما پیدا کرده و حذف کردیم.  

بعد از پایان این دوره، موارد زیر را درک خواهید کرد:

• دلایل آسیب‌پذیری‌ها، 
• چگونه آسیب‌پذیری‌ها را شناسایی کنیم؟
• چگونه آسیب‌پذیری‌ها را اکسپلویت و هک کنیم؟
• چگونه از آسیب‌پذیری‌ها جلوگیری کنیم؟

در این دوره شرکت کنید تا به یک هکر اخلاقی حرفه‌ای تبدیل شوید!

مهم: این دوره برای اهداف آموزشی ایجاد شده است و تمام اطلاعات یادگرفته شده باید در زمانی استفاده شود که مهاجم مجاز است.

این دوره برای چه کسانی مناسب است؟

• هر کسی که می‌خواهد یاد بگیرد چگونه یک وب‌سایت را هک کند یا هاردنینگ انجام دهد.
• هر کسی که کنجکاو است بدانند چگونه داده از محیط‌های رسانه اجتماعی نشت پیدا می‌کند.
• هر کسی که می‌خواهد یاد بگیرد چگونه حتی ایمن‌ترین وب‌سایت‌ها هک می‌شوند.
• هر کسی که از هک شدن می‌ترسد و می‌خواهد وب‌سایت‌های خود را ایمن سازد.
• افرادی که مایل به شروع کار در امنیت سایبری هستند.