دوره حرفه ای تست نفوذ وب SANS SEC 542

مروری بر دوره

دوره تست نفوذ و امنیت برنامه‌های وب (SEC542) یکی از حرفه‌ای‌ترین دوره‌های شرکت SANS در حوزه امنیت وب است. در این دوره، شما با روش‌های واقعی تست نفوذ وب آشنا می‌شوید و می‌آموزید چگونه آسیب‌پذیری‌های مهم برنامه‌های تحت وب را شناسایی و ارزیابی کنید. هدف این دوره، آموزش مهارت‌های عملی و قابل استفاده در محیط‌های واقعی است تا شرکت‌کنندگان بتوانند امنیت برنامه‌های وب را به‌صورت مؤثر مدیریت کنند.

در طول دوره، تمرکز بر یادگیری نحوه عملکرد واقعی وب، جمع‌آوری اطلاعات، بررسی زیرساخت و احراز هویت، شناسایی و بهره‌برداری از آسیب‌پذیری‌ها مانند SQL Injection، XSS، SSRF، Deserialization و File Inclusion است. همچنین با ابزارهای حرفه‌ای تست نفوذ مانند Burp Suite، OWASP ZAP، sqlmap، Metasploit و WPScan کار می‌کنید تا مهارت‌های عملی خود را تقویت کنید. این دوره نه تنها تکنیک‌ها و ابزارها را آموزش می‌دهد، بلکه به شما طرز فکر و فرآیندی می‌دهد که پس از پایان کلاس بتوانید به‌طور مداوم مهارت‌های خود را ارتقا دهید.

دوره SEC542 مسیر یادگیری جامعی ارائه می‌دهد که از مراحل شناسایی و تحلیل برنامه‌های وب تا بهره‌برداری عملی و گزارش‌دهی را شامل می‌شود. شما یاد می‌گیرید چگونه عملکرد واقعی وب را درک کنید، درخواست‌ها و پاسخ‌های HTTP، کوکی‌ها، هدرها و متدهای وب را تحلیل کنید، و تأثیر پیکربندی TLS و گواهی‌ها بر امنیت را بسنجید. همچنین با تکنیک‌های پیشرفته مانند Fuzzing، بررسی APIها، شناسایی سطح حمله، دور زدن مکانیزم‌های احراز هویت و بررسی ضعف‌های کنترل دسترسی، توانایی مدیریت امنیت برنامه‌های وب را به دست می‌آورید.

لاب‌های عملی این دوره شامل شبیه‌سازی حملات واقعی است؛ از بهره‌برداری سمت سرور، تزریق SQL و NoSQL، Command Injection، تا حملات سمت کاربر مانند CSRF و DOM-based XSS. همچنین تمرین‌های عملی با زبان برنامه‌نویسی Python انجام می‌شود تا فرآیندهای تست خودکارسازی شوند و بتوانید گزارش‌ها و مستندات حرفه‌ای برای سازمان خود تهیه کنید. در نهایت، دوره علاوه بر آموزش فنی، شما را با جنبه‌های مدیریتی و کسب‌وکاری تست نفوذ وب آشنا می‌کند تا بتوانید یافته‌ها را به شکل مؤثر به ذی‌نفعان منتقل کنید و برنامه‌های بهبود امنیت را طراحی نمایید.

در پایان دوره، شما یک متدولوژی تکرارپذیر برای ارزیابی امنیت برنامه‌های وب خواهید داشت و تجربه عملی گسترده‌ای در مواجهه با آسیب‌پذیری‌های واقعی محیط‌های مدرن به دست خواهید آورد. SEC542 مهارت‌ها، فرآیند و ذهنیت لازم برای تبدیل شدن به یک تستر نفوذ حرفه‌ای وب را در اختیار شما قرار می‌دهد و امکان ادامه یادگیری و توسعه مهارت‌ها پس از پایان کلاس را فراهم می‌کند.

برای دسترسی به سرفصل‌ها و جزئیات کامل این دوره، می‌توانید نسخه رسمی و بین‌المللی Syllabus را دانلود کنید:

Download Full Syllabus 

.

آنچه خواهید آموخت

  • اجرای یک روش استاندارد و ساختاریافته برای تست امنیت برنامه‌های وب بر اساس چارچوب OWASP

  • شناسایی، تحلیل و بررسی برنامه‌های وب و APIها با استفاده از ابزارهای مدرن تست نفوذ

  • کشف و بهره‌برداری از آسیب‌پذیری‌های مهم مانند Injection، XSS، CSRF، SSRF، XXE و SSTI

  • ترکیب ضعف‌های کوچک برای رسیدن به اجرای کد از راه دور و سرقت داده‌های حساس

  • خودکارسازی فرآیندهای تست نفوذ با استفاده از Python و اسکریپت‌های اختصاصی

  • استفاده حرفه‌ای از ابزارهایی مانند Burp Suite، ZAP، ffuf، sqlmap، BeEF و Metasploit

  • ارزیابی مکانیزم‌های احراز هویت و کنترل دسترسی، شامل دور زدن محدودیت‌ها و ارتقای سطح دسترسی

سرفصل ها

SECTION 1: Introduction and Information Gathering

This section covers essential techniques for web application penetration testing, including interception proxies, HTTP basics, information gathering, virtual host discovery, target profiling, HTTPS testing, and content spidering. Labs include configuring Burp Suite and performing thorough assessments.
Topics:

  • Web Application Penetration Testing Methodologies

  • Interception Proxies

  • HTTP Basics: Protocols, Requests and Responses

  • Virtual Host Discovery, Spidering, and Target Profiling

  • Security Testing Fundamentals

SECTION 2: Fuzzing, Scanning, APIs, and Authentication

This section focuses on advanced web application security techniques, including fuzzing for vulnerability detection, information leakage analysis, and using scanners such as Nuclei and Burp Suite Pro. It also covers forced browsing for content discovery, API exploitation, various authentication methods, and federated identity protocols.
Topics:

  • Master Techniques like Fuzzing and Information Leakage Detection

  • Utilize Advanced Scanning Tools like Burp Suite Pro and Nuclei

  • Forced Browsing to Find Unlinked Content

  • Identify and Exploit API Vulnerabilities Using Tools like Bruno

  • Federated Identity and Access Protocols

SECTION 3: Identity, AuthN/AuthZ Bypass, and Client-Side Attack

This section moves from username harvesting and blind password spraying through session management, authentication and authorization bypass, then into stored, reflected, and DOM-based XSS, payload construction, data exfiltration, and browser exploitation using tools such as Burp Suite, ffuf, DOM Invader, and BeEF.
Topics:

  • Username Harvesting

  • Session Management and Token Randomness Analysis

  • Authentication and Authorization Bypass

  • Cross-Site Scripting Overview and Impacts

  • Client-side Testing, DOM, AJAX, Browser Developer Tools

SECTION 4: Prototype Pollution, Database and Command Injection, SSRF, and XXE

Students progress from prototype pollution and database injection (SQL and NoSQL) through command injection, SSRF, and XML external entities. They learn to move from input-level flaws to full data access and system impact using tools like Burp Suite and sqlmap.
Topics:

  • Prototype Pollution and Abuse of JavaScript’s Inheritance Model

  • SQL and NoSQL Injection Techniques, Categories, and Impact

  • Database Injection Tooling and Automation with Burp Suite

  • Command Injection and Collaborator-Based Probing

  • SSRF and XXE Attacks

SECTION 5: CSRF, Serialization, SSTI, and Advanced Tools

This section advances from insecure deserialization, file inclusion, Python automation, SSTI, CSRF, and file upload exploitation to Metasploit-driven post-exploitation and the business side of penetration testing. It connects technical attacks to logging, logic flaws, LLM risk, and reporting.
Topics:

  • File Inclusion and Insecure Deserialization

  • Python Scripting and Pickling for Automating Web App Testing

  • Server-Side Template Injection (SSTI)

  • Security Logging and Monitoring Failures

  • Metasploit Framework Usage

SECTION 6: Capture the Flag

During this section, students compete in teams on the ranges.io platform, a web application penetration testing tournament. This Capture-the-Flag exercise allows them to apply and sharpen skills, complete missions, exfiltrate data, and tackle progressive challenges with hints suitable for all skill levels.
Topics:

  • Team-based CTF exercises

  • Realistic web application challenges

  • Progressive missions and data exfiltration tasks

  • Reinforcement of practical skills learned in the course

مخاطبان دوره

  • کارشناسان و متخصصان عمومی امنیت اطلاعات

  • تسترها و ارزیابان نفوذ (Penetration Testers)

  • هکرهای اخلاقی (Ethical Hackers)

  • توسعه‌دهندگان برنامه‌های وب

  • طراحان، معماران و توسعه‌دهندگان وب‌سایت

پیش نیازها

  • آشنایی با برنامه نویسی و طراحی صفحات وب

تقویم دوره

وضعیت کد دوره نام اساتید نوع برگزاری محل طول دوره شهریه روزهای هفته تاریخ شروع ساعت کلاس
...
Tra2616 حضوری/آنلاین (لایو) ارژنگ دوره های حضوری در محل شعبه اصلی مؤسسه آموزش عالی ارژنگ برگزار میگردند. 40 ساعت 75,000,000 ریال پنج شنبه پنجشنبه, 1404/10/25 از 9:0 تا 14:0 ثبت نام

نظرات

به عنوان اولین نفر، نظر خود را بنویسید!

About text formats

متن ساده

  • تگ‌های HTML مجاز نیستند.
  • خطوط و پاراگراف‌ها بطور خودکار اعمال می‌شوند.
  • Web page addresses and email addresses turn into links automatically.
#f59331