دوره SANS SEC642
دوره SANS SEC642 تحت عنوان “Advanced Network Security: A Practical Approach” یکی از دورههای معتبر در زمینه امنیت شبکه است. این دوره به آموزش مهارتهای پیشرفته در شناسایی و مدیریت تهدیدات امنیتی شبکه میپردازد.
پیش نیاز دوره SANS SEC642
- SANS 542
مخاطبین دوره SANS SEC642
- تحلیلگران Forensics
- هکرهای قانونمند
- کارشناسان امنیت
- مدیران امنیت اطلاعات
- کارشناسان واحد پاسخگویی به حوادث
- کارشناسان واحد مرکز عملیات امنیت
مزایای دوره SANS SEC642
- ارائه مدرک معتبر
- برگزاری دورهها بصورت کاملا عملی
- استفاده از لابراتور مجهز
- استفاده از برترین اساتید داخلی و با مدرک بینالمللی
- با توجه به حضور گروه دوران در بیش از 1000 پروژه سازمانی، امکان معرفی دانشجویان دوره به بازار کار مرتبط به دورهها
- تخفیف جهت حضور در دورههای بعدی
- دريافت مدرک بين المللی مرتبط
سرفصل دوره آموزش SANS SEC642
SEC642.6: Capture the Flag
زیر ساخت به دورانی وارد شده که شامل رمزنگاری، WebSockets، HTTP / 2 و موارد دیگر دیگری است. آیا مهارتهای ارزیابی برنامه کاربردی وب شما و مهارتهای تست نفوذ شما برای ارزیابی این فناوریهای جدید چشمگیر و ایمنتر کردن آنها آماده است؟
آیا شما آماده هستید تا برنامههای وب خود را با مهارتهای بروز آزمایش کنید؟
این دوره تست نفوذ به گونهای طراحی شده است که مهارتها و تکنیکهای پیشرفته مورد نیاز برای تست برنامههای وب مدرن و فناوریهای نسل بعدی را به شما آموزش دهد. این دوره از ترکیبی از سخنرانی، تجربیات دنیای واقعی و تمرینات عملی برای آموزش تکنیکهای تست امنیت فناوریهای وب محرمانه داخلی و همچنین برنامههای کاربردی اینترنتی پیشرفته استفاده میکند.
روز آخر دوره در مسابقات Capture the Flag به پایان میرسد که شما در آن دانش خود را که در طی پنج روز گذشته به دست آورده اید در یک محیط سرگرم کننده و مبتنی بر فناوریهای دنیای واقعی اعمال خواهید کرد.
یادگیری عملی مهارتهای بهرهبرداری از برنامه وب پیشرفته
ما با بررسی تکنیکهای پیشرفته و حملههایی که ممکن است همه برنامههای کاربردی پیچیده امروزی در برابر آنها آسیبپذیر باشند، شروع میکنیم. ما در مورد چارچوبهای جدید وب و پس زمینههای وب میآموزیم، سپس رمزگذاری را کشف میکنیم زیرا مربوط به برنامههای وب است، و بصورت عمیق تر رمزنگاری عملی که توسط وب استفاده میشود را بررسی میکنیم، مانند تکنیکهایی برای شناسایی نوع رمزگذاری در استفاده در برنامه و روشهای سو استفاده از آن.
ما به فرانت-اندهای جایگزین برای برنامههای وب و خدمات وب مانند برنامههای تلفن همراه نگاه خواهیم کرد و پروتکلهای جدید مانند HTTP / 2 و WebSockets را بررسی خواهیم کرد. بخش پایانی کلاس به نحوه شناسایی و دور زدن فایروالهای برنامه وب، فیلتر و سایر روشهای محافظت میپردازد.
هرچه برنامهها و آسیبپذیریهای آنها پیچیدهتر میشوند، آزمایشکنندگان نفوذ باید بتوانند اهداف پیشرفته را مدیریت کنند. ما دوره را با تست نفوذ ابتدایی و یک برنامه کوچک شروع خواهیم کرد. پس از بررسی این تمرین، برخی از تکنیکهای پیشرفتهتر برای نقصهای سرور LFI / RFI و SQLi را بررسی خواهیم کرد. سپس نگاهی به حملات ترکیبی XSS و XSRF خواهیم انداخت و در این اقدام دو نقطه آسیبپذیر را برای تاثیر بیشتر با هم بکار میبریم. پس از کشف نقصها، از روشهای مختلفی استفاده خواهیم نمود که از این نقصها فراتر از ابزاری که امروزه بطور معمول نشان داده میشوند بهرهبرداری کنم. این تکنیکهای پیشرفته به آزمایشکنندگان تست نفود کمک میکنند تا روشهایی بیابند تا این آسیبپذیریها را از طریق بهرهبرداری (اکسپلویت) پیشرفته و ویژه به سازمان نشان دهند.
ما همچنان به بررسی تکنیکهای پیشرفته برای کشف و بهرهبرداری در دنیای پیچیده برنامههای وب ادامه خواهیم داد. ما به آسیبپذیریهایی که میتوانند بر روی برنامههای وب که به هر زبان بک-اند نوشته شده باشد تاثیرگذارند خواهیم پرداخت، و سپس این امر را بررسی خواهیم نمود که چطور نقصهای منطقی، به ویژه در Mass Object Assignments، میتوانند تاثیرات بسیار مخربی بر امنیت داشته باشند. ما همچنین باورهای تیمهای توسعه دهنده اصلی را در مورد زبانهای برنامهنویسی بک-اند بررسی نموده و و به این مساله پی خواهیم برد که حتی چیزی به سادگی کار با انواع مختلف اطلاعات درمتغیرها میتواند از طریق وب و با استفاده از Type Juggling و توالی آبجکت میواند استفاده شود.
در ادامه ما به کاوش پیرامون چندین برنامه و چارچوب محبوب و روشی که آنها تکنیکهای کشف را در یک تست نفوذ تغییر میدهند، خواهیم پرداخت. بخشی از این مبحث ما را به سمت تکنولوژیهای پیشرفتهای چون MEAN stack سوق خواهد داد، که در آن JavaScript از جستجوگر، سرور وب و حافظه بک-اند NoSQL بکار میرود. بخش نهایی کلاس برنامه هایی در مورد سیستمهای مدیریت محتوا مانند SharePoint و WordPress را بررسی میکند که نیازها و ویژگیهای خاصی دارند که آنها را برای آزمایش کننده پیچیدهتر و مفیدتر میکند.
ضعفهای رمزنگاری بخش بزرگی از آسیبپذیریهای برنامه را تشکیل میدهند، اما آزمایش کنندههای نفوذ کمی وجود دارند که میتوانند این نقصها را بررسی کرده، به آنها حمله کنند و از آنها بهره ببرند. وقتی ما در مورد حملات رمزنگاری برنامه وب تحقیق میکنیم، بطور معمول بکار بستن و استفاده رمزنگاری را در برنامههای وب مدرن مورد هدف قرار میدهیم. بسیاری از زبانهای برنامهنویسی وب و چارچوبهای توسعه، خدمات رمزنگاری را در دسترس توسعه دهنده قرار میدهند. اینها غالبا از اطلاعات رمزنگاری شده در مقابل حملات محافظت نمیکنند و یا به توسعهدهنده اجازه میدهند تا از رمزنگاری به طور ضعیفی استفاده کند. این اشتباهات در بکاربستن موضوع بحث این بخش خواهند بود و نه بهرهبرداری از ضعفهای موجود در الگوریتمهای رمزنگاری.
ما همچنان به روشهای مختلفی که برنامهها به طور نا امن از رمزنگاری و درهمسازی (hashing (استفاده میکنند خواهیم پرداخت. کارآموزان تکنیکهایی مثل شناسایی انواع رمزنگاری تا بررسی انواع نقص در تکنیکهای رمزنگاری و درهمسازی را خواهند آموخت.
برنامههای وب دیگر محدود به رابطهای HTML نیستند. خدمات وب و برنامههای تلفن همراه بسیار پر کاربرد شدهاند و بطور مداوم برای حمله به کاربران و سازمانها استفاده میشوند و بدین علت بسیار اهمیت دارد که آزمایش کنندگان نفوذ بدانند که چطور امنیت این سیستمها را بسنجند. ما نقصهای Flash، Java، Active X و Silverlight را مورد بررسی قرار خواهیم داد و تکنیکهای مختلفی را برای کشف نقصها درون برنامه و سیستمهای بک-اند خواهیم آموخت. این تکنیکها از ابزاری چون Burp Suite و دیگر ابزار اتوماتیک استفاده خواهند کرد. ما از تمرینات آزمایشگاهی برای مطالعه در مورد جدیدترین پروتکلهای HTTP/2 و WebSockets و بهرهبرداری از نقصهای مشاهده شده در هر یک از آنها استفاده خواهیم کرد.
امروزه برنامهها از کنترلهای امنیتی بیشتری استفاده میکنند تا از حملات پیشگیری نمایند. این کنترلها مثل Web Application Firewalls و تکنیکهای فیلترینگ، کار را برای آزمایش کنندههای نفوذ در حین عمل تست سخت تر میکند. آنها بسیاری از ابزار اتوماتیک و تکنیکهای ساده را که برای کشف نقصها بکار میروند بلاک میکنند. در این روز ما تکنیکهای بکار رفته برای برنامهریزی این کنترلها و چگونگی تنظیمات این کنترل ها برای ممانعت از حملات را ملاحظه میکنیم. شما خواهید توانست گروه های قانون را برنامه ریزی کرده و ویژگیهای روش کشف حملات توسط Web Application Firewall را مشخص کنید. سپس این برنامهریزی برای مشخص کردن حملاتی که کنترل را دور میزنند بکار میرود. شما از HTML5، UNICODE و دیگر روشهای رمزگذاری استفاده خواهید کرد که به تکنیکهای کشف شما امکان کار درون برنامه محافظت شده را میدهند.
در این روز پایانی دوره، شما مسئول یک شبکه خواهید شد و موقعیت انجام یک تست نفوذ کامل را خواهید داشت. هدف این تمرین این است که شما تکنیکها، ابزار و روشهایی را که در پنج روز گذشته آموختهاید بسنجید. شما خواهید توانست از این مهارتها در یک اکسترانت و اینترانت واقعی استفاده کنید. در پایان روز گزارشی شفاهی از یافتههای خود و روشهایی که برای انجام تست بکار بردهاید ارائه خواهید داد. یک ماشین مجازی که شامل چارچوب تست وب Samurai (SamuraiWTF) است در اختیار کارآموزان قرار خواهد گرفت. میتوانید از این ماشین در کلاس و پس از اتمام آن و بازگشت به مشاغل خود استفاده کنید.
دوران آکادمی زیر مجموعه گروه دوران، مجری برگزاری دوره SANS SEC642 در قالب آموزش امنیت به صورت آموزش آنلاین و حضوری با بهرهگیری از لابراتور آنلاین اختصاصی بهمراه گواهی معتبر ارائه میشود.
منبع سایت sans
درخواست مشاوره
برای کسب اطلاعات بیشتر درباره این دوره درخواست مشاوره خود را ارسال کنید و یا با ما در تماس باشید.
درخواست مشاورهدوره های مرتبط
دوره آموزش ECSA
دوره آموزش ECSA (Certified Security Analyst) یک گواهینامه حرفهای در حوزه امنیت سایبری است که توسط سازمان EC-Council ارائه میشود. این دوره به متخصصان امنیت کمک میکند تا مهارتهای تجزیه و تحلیل امنیت و همچنین ارزیابی نفوذپذیری سیستمهای شبکه را توسعه دهند. ECSA به دنبال گسترش دانشهایی است که در دوره CEH (Certified Ethical Hacker) آموخته شده و به تمرکز بیشتری روی تحلیل و بهبود امنیت در یک محیط عملیاتی میپردازد.
دوره آموزش CASE .NET
با گسترش روزافزون تکنولوژی و نیاز به نرمافزارهای کارآمد و قابل اعتماد، آشنایی با ابزارها و فریمورکهای مدرن بسیار حائز اهمیت است. دوره آموزش CASE .NET به شما این امکان را میدهد که با یکی از محبوبترین پلتفرمهای توسعه نرمافزار آشنا شوید.
دوره آموزش F5 Configuring F5 BIG-IP AFM
SharePoint یکی از محصولات تحت وب شرکت مایکروسافت است که اولین بار در سال ۲۰۰۱ ارائه شد SharePoint که با مجموعه آفیس مایکروسافت یکپارچه است.
دوره آموزش برنامه نویسی امن ECSP
SharePoint یکی از محصولات تحت وب شرکت مایکروسافت است که اولین بار در سال ۲۰۰۱ ارائه شد SharePoint که با مجموعه آفیس مایکروسافت یکپارچه است.