Webamooz.ir |
ثبت نام دوره آنلاین و فشرده بررسی حملات سمت کاربر از طریق نرمافزارهای وب شروع شد.
اطلاعات تکمیلی دوره در وب سایت وب آموز.
طول دوره: 30 ساعت
مدرس دوره : یاشار شاهین زاده (دریافت رزومه مدرس)
شروع دوره: 1393/7/17
طبق معمول پیش پرداخت 10% تخفیف دارد.
برنامه زمانی کلاس ها:
- یکشنبه ساعت ۱۸ الی ۲۱
- سه شنبه ساعت ۱۸ الی ۲۱
- پنجشنبه ساعت ۱۸ الی ۲۲
- جمعه ساعت ۹ الی ۱۳
سرفصل این دوره:
- معرفی مفهوم بسیار مهم Same Origin Policy
- بررسی برخی از سرآیندهای مهم در پروتکل HTTP:
- X-XSS-Protection
- Content-Security-Policy
- X-Frame-Options
- Origin
- Access-Control-Allow-Origin
- Access-Control-Allow-
Credentials - مثال عملی و کاربردی از هر یک از سرآیندهای بالا
آسیبپذیری HTML Code Injection
- معرفی دقیق آسیبپذیری HTML Code Injection
- روشهای بهرهکشی آسیبپذیری
- دو سناریوی کاملاً واقعی برای حمله به درگاه بانک با استفاده از این آسیبپذیری
- راهکارهای سطح بالا برای امنسازی نسبت به آسیبپذیری مذکور
آسیبپذیری Cross Site Scripting
- معرفی دقیق آسیبپذیری Cross Site Scripting
- دستهبندی کردن فیلترهای جلوگیری از این آسیبپذیری
- بررسی فیلترهای (زبان regular expression) ضعیف
- راههای دور زدن برخی از فیلترها
- ارائهٔ روشهای نوین پیدا کردن این آسیبپذیری (XSS Vectors)
- روشهای بهرهکشی اولیه از این آسیبپذیری
- بررسی framework ها برای بهرهکشی از این آسیبپذیری
- نوشتن یک framework ساده – بررسی مزایا
- روشهای بهرهکشی حرفهای از این آسیبپذیری – دور زدن Same Origin Policy
آسیبپذیری Cross-Side Request Forgery
- معرفی دقیق آسیبپذیریCross-Side Request Forgery
- بررسی برخی از محدودیتها در بهرهکشی
- بررسی دقیق بهرهکشی روش HTTP GET
- بررسی دقیق بهرهکشی روش HTTP POST
- استفاده از JavaScript برای نوشتن کد بهرهکشی
- مفهوم استفاده از توکِن یکبار مصرف
تلفیق آسیبپذیریهای XSS و CSRF
- روش بهرهکشی برای تلفیق آسیبپذیری XSS و CSRF
- دور زدن توکِن با استفاده از XSS
- استفاده از قابلیتهای کاربر مدیر در برنامههای کاربردی وِب با روش بهرهکشی مناسب
به تمامی کسانی که موفق شرکت در کلاس ها شوند گواهی نامه رسمی شرکت آبان سیستم و مرکز رشد دانشگاه شهید بهشتی داده خواهد شد.
شرکت آبان سیستم پایا دانشگاه شهید بهشتی - مرکز رشد واحد های فن آور 021- 77933708 |