ثبت نام دوره آنلاین و فشرده بررسی حملات سمت کاربر از طریق نرم‌افزارهای وب شروع شد.

اطلاعات تکمیلی دوره در وب سایت وب آموز.

طول دوره: 30 ساعت
مدرس دوره : یاشار شاهین زاده (دریافت رزومه مدرس)
شروع دوره: 1393/7/17
طبق معمول پیش پرداخت 10% تخفیف دارد.

برنامه زمانی کلاس ها:

• یکشنبه ساعت ۱۸ الی ۲۱
• سه شنبه ساعت ۱۸ الی ۲۱
• پنجشنبه ساعت ۱۸ الی ۲۲
• جمعه ساعت ۹ الی ۱۳

سرفصل این دوره:

• معرفی مفهوم بسیار مهم Same Origin Policy
• بررسی برخی از سرآیندهای مهم در پروتکل HTTP:
• X-XSS-Protection
• Content-Security-Policy
• X-Frame-Options
• Origin
• Access-Control-Allow-Origin
• Access-Control-Allow-Credentials
• مثال عملی و کاربردی از هر یک از سرآیندهای بالا

آسیب‌پذیری HTML Code Injection

• معرفی دقیق آسیب‌پذیری HTML Code Injection
• روش‌های بهره‌کشی آسیب‌پذیری
• دو سناریوی کاملاً واقعی برای حمله به درگاه بانک با استفاده از این آسیب‌پذیری
• راه‌کارهای سطح بالا برای امن‌سازی نسبت به آسیب‌پذیری مذکور

 آسیب‌پذیری Cross Site Scripting

• معرفی دقیق آسیب‌پذیری Cross Site Scripting
• دسته‌بندی کردن فیلتر‌های جلوگیری از این آسیب‌پذیری
• بررسی فیلترهای (زبان regular expression) ضعیف
• راه‌های دور زدن برخی از فیلترها
• ارائهٔ روش‌های نوین پیدا کردن این آسیب‌پذیری (XSS Vectors)
• روش‌های بهره‌کشی اولیه از این آسیب‌پذیری
• بررسی framework ها برای بهره‌کشی از این آسیب‌پذیری
• نوشتن یک framework ساده – بررسی مزایا
• روش‌های بهره‌کشی حرفه‌ای از این آسیب‌پذیری – دور زدن Same Origin Policy

آسیب‌پذیری Cross-Side Request Forgery

• معرفی دقیق آسیب‌پذیریCross-Side Request Forgery
• بررسی برخی از محدودیت‌ها در بهره‌کشی
• بررسی دقیق بهره‌کشی روش HTTP GET
• بررسی دقیق بهره‌کشی روش HTTP POST
• استفاده از JavaScript برای نوشتن کد بهره‌کشی
• مفهوم استفاده از توکِن یکبار مصرف

تلفیق آسیب‌پذیری‌های XSS و CSRF

• روش بهره‌کشی برای تلفیق آسیب‌پذیری XSS و CSRF
• دور زدن توکِن با استفاده از XSS
• استفاده از قابلیت‌های کاربر مدیر در برنامه‌های کاربردی وِب با روش بهره‌کشی مناسب

به تمامی کسانی که موفق شرکت در کلاس ها شوند گواهی نامه رسمی شرکت آبان سیستم و مرکز رشد دانشگاه شهید بهشتی داده خواهد شد.