جزيره فناوري اطلاعات

وب هكينگ چيست؟ معرفي تخصص تست نفوذ وب يا Web Hacking

تست نفوذ وب و Web Application يا همان وب هكينگ قانونمند يكي از پرطرفدارترين و پر مخاطب ترين حوزه هاي امنيت ، Security و تست نفوذ مي باشد. حوزه امنيت و Security نيز مانند ساير حوزه هاي تخصصي IT به شاخه هاي مختلفي تقسيم مي شود. به عنوان مثال 3 شاخه كلي براي حوزه امنيت متصور مي باشد كه شامل :

Network Pentest

Web Application Pentest

جرم يابي سايبري | فارنزيكس (Forensics) مي باشد

اما بسياري از دانشجويان و علاقه مندان به حوزه امنيت و Security شاخه دوم يعني Web Application Pentest | Web server Pentest | وب هكينگ قانونمند را انتخاب مي كنند .

مهمترين دلايل ورود به دنياي وب هكينگ يا تست نفوذ وب چيست؟

امروزه همه شركت ها ، ارگان ها و سازمان ها داراي وب سايت و Web application ها با ساختار Web server و Android و ساير تكنولوژي هاي وب نوظهور مي باشند. بنابراين با توجه به حساس بودن و محرمانه بودن و حياتي بودن ديتا ها و اطلاعات خود شركت ها و كاربران آنها دراين ساختار ، ارزيابي و تست نفوذ وب و وب اپليكيشن ها مورد نياز مي باشد. و اين خود باعث ايجاد فرصت و بازار كاري بزرگ با درامد عالي براي علاقه مندان به شاخه تست نفوذ وب و وب هكينگ (Web hacking) مي شود.

وجود ارتباط و وابستگي منظم بين مباحث و مفاهيم حوزه تست نفوذ وب و Web hacking باعث افزايش قدرت يادگيري و علاقه مندي كاربران و دانشجويان اين حوزه مي گردد.

رشد روز افزون ساختار ها ، ابزار ها و تكنولوژي هاي حوزه وب و همچنين به موازات آن رشد تهديدات سايبري اين حوزه ، نياز به داشتن تخصص تست نفوذ وب و سامانه هاي وب و Web application ها هر روز بيشتر احساس مي گردد.

نقشه راه دوره هاي آموزشي هك وب يا وب هكينگ ( آموزش هك وب )

با توجه به اهميت شاخه تست نفوذ وب و با توجه به دلايل مذكور فوق ، يكي از دغدغه ها و فكر مشغولي هاي دانشجويان و كاربران اين حوزه ، داشتن مسير راه ، Road Map و انتخاب درست چگونگي يادگيري تخصصي اين شاخه مي باشد. تقريبا تمامي كمپاني ها و شركت هاي ارائه دهنده دوره هاي امنيت، كتاب هايي در حوزه تست نفوذ وب و Web Application را ارائه داده اند.

اما قوي ترين و حرفه اي ترين كمپاني كه به صورت كامل ، حرفه اي و جامع ، از مقدماتي تا حرفه اي( تخصصي) ، مرحله به مرحله و همچنين به صورت كاملا عملي و لابراتوار محور شاخه تست نفوذ وب و Web Application را تدريس نموده است كمپاني و شركت SANS مي باشد. اين شركت 2 دوره به نام هاي SANS 542 و SANS 642 را در حوزه تست نفوذ وب به دنيا معرفي نموده است .

اما همانطور كه مستحضر هستيد معادل فارسي كه دقيقا تمامي مفاهيم و مطالب موجود در اين دو دوره را به صورت كامل و جامع بيان كرده باشد ، بسيار كم است. همچنين در كلاس هاي حضوري نيز با توجه به اينكه سطح دانش همه دانشجويان در اين حوزه يكسان نيست و به دليل زمان زيادي كه براي حل تمرين بر روي لابراتوار ها صرف مي شود و همچنين زمان استراحت در نظر گرفته شده ، اساتيد محترم قادر به پوشش كامل اين قبيل دوره هاي نمي باشند . لازم به ذكر است هزينه بالاي دوره هاي حضوري نيز خود دليلي بر گرايش دانشجويان به سمت دوره هاي آفلاين و از قبل ضبط شده و Capture شده مي باشد.

دوره آموزشي هك وب | SANS SEC542 چيست؟

دوره sans 542 | دوره GWAP (GIAC Web Application Penetration Tester) يا دوره Web hacking | وب هكينگ | Web Pentest كامل ترين دوره تست نفوذ وب (Web Application Pentest) مي باشد . اين دوره متعلق به كمپاني SANS بوده و در اين دوره انواع حملات و آسيب پذيري هاي وب به صورت مقدماتي تا حرفه اي به صورت عملي (Labs) آموزش داده خواهد شد .

دوره sans 542 (GWAPT) به افراد و دانشجويان اين توانايي را خواهد داد كه پس از گذراندن اين دوره به صورت عملي و براساس Lab هاي طراحي شده ، انواع معماري و ساختار وب ،آسيب پذيري هاي وب سايت ها و Web Apllication ها را شناسايي و تحليل نموده ، هچينين در اين دوره افراد توانايي Exploit كردن و اكسپلويت نويسي آسيب پذيري هاي تحت وب به زبان هابي javaScript , Python و php را خواهد داشت .

اين دوره جزء دوره هاي تخصصي حوزه امنيت محسوب مي شود و به صورت كاملا حرفه اي براي افرادي كه قصد شركت در پروژه هاي تست نفوذ وب و سامانه ها و Application هاي وب را دارند بسيار مناسب مي باشد . حتي برنامه نويسان تحت وب مي توانند از اين دوره براي كد نويسي امن و Secure استفاده نمايند.

دوره آموزشي هك وب پيشرفته | SANS SEC 642 چيست؟

دوره sans 642 | Advanced WebApp Penetration testing | دوره تست نفوذ پيشرفته وب | وب هكينگ پيشرفته ، پيشرفته ترين و حرفه اي ترين دوره تست نفوذ پيشرفته وب و Web application ها مي باشد.اين دوره متعلق به كمپاني sans بوده و در اين دوره علاوه بر ارائه تكنيك هاي پيشرفته حملات و تست نفوذ هاي دوره sans 542 ، تست نفوذ و هك جديدترين ساختار ها و تكنولوژي هاي وب مانند : NoSqlinjection بر روي ديتا بيس هاي غير رابطه اي ، انواع حملات NodeJs ، آسيب پذيري SSTI ، CSRF پيشرفته با Ajax ، CMS Hacking ، WebSocket Hacking ، PHP unserialize attack ، انواع كرك هاي پيشرفته ترافيك هاي رمز شده در وب شامل ECB , CBC , Padding Oracel ، Bypass كردن WAF و IPS ، PHP Juggling و آسيب پذيري هاي پيشرفته logical و خيلي ديگر از حملات و آسيب پذيري هاي نوظهور ارائه مي شود.

اين دوره قوي ترين و پيشرفته ترين دوره تست نفوذ و هك وب در دنيا محسوب مي شود و جزء دوره هاي تخصصي حوزه امنيت محسوب مي شود كه مي توان گفت اين دوره دوره سنگيني مي باشد كه حتما دانشجويان مي بايست دوره Sans 542 يعني دوره مقدماتي اين دوره را پشت سر گذاشته باشند.

مزاياي دوره SANS 542 و SANS 642 مهندس محمدي

ارائه كامل ، جامع تمامي مفاهيم و سرفصل هاي دوره sans 542 و sans 642 به ساده ترين شكل ممكن به زبان فارسي

ارائه مطالب و مفاهيم بيشتر از كتاب به صورت عملي و تئوري و مرتبط با سرفصل هاي اين 2 كتاب

آموزش و ارائه چگونگي ايجاد و راه اندازي لابراتوار و Web application هاي آسيب پذير در راستاي انجام و اجراي CTF هاي در نظر گرفته شده توسط كتاب

پشتيباني كامل و مستمر توسط مدرس دوره

آموزش و ايجاد آمادگي صد در صد دانشجو براي شركت در بازار كار واقعي و دريافت انواع پروژه هاي تست نفوذ وب ، وب سايت و Web application ها

امكان تهيه دوره و به صرفه بودن از لحاظ اقتصادي با توجه به قيمت مناسب اين دوره در مقايسه با دوره ها حضوري معادل همين دوره ها و با در نظر گرفتن محدوديت هاي بيان شده در خصوص دوره هاي حضوري

راهنما و مسير يادگيري دوره هاي آموزش هك وب مهندس محمدي

دانشجويان علاقه مند به شاخه تست نفوذ وب و وبسايت ها مي بايست به ترتيب دوره هاي زير را پشت سر بگذرانند.

1- پيشنهاد مي گردد اگر دانشجويان اطلاعاتي كلي و عمومي در حوزه امنيت را ندارند و به تازگي وارد اين حوزه شده اند و يا اينكه به عنوان مثال دوره هاي مقدماتي امنيت و همتراز انها مانند Security + | سكيوريتي پلاس را پشت سر نگذاشته اند ، حتما دوره Security plus | سكيوريتي پلاس را پاس نمايند و يا اينكه خودشان مفاهيم كلي و عمومي امنيت را مطالعه نمايد.

2- در مرحله دوم دانشجويان مي بايست دوره SANS 542 ارائه شده توسط مهندس محمدي در وب سايت توسينسو را تهيه و مطالعه نموده و حتما لابراتورا ها و CTF هاي در نظر گرفته شده براي اين دوره را انجام دهند.

3- در مرحله سوم دانشجويان مي باست دوره SANS 642 ارائه شده توسط مهندس محمدي در وب سايت توسينسو را تهيه و مطالعه نموده و حتما لابراتوارها و CTF هاي در نظر گرفته شده براي اين دوره را انجام دهند.

4- در مرحله سوم دوره DVWA ارائه شده توسط مهندس محمدي در وب سايت را تهيه و مطلالعه نمايند چرا كه مفاهيم و سرفصل هاي ارائه شده در اين دوره بسيار كاربردي و مهم مي باشد.