دوره Practical Web Defense یک دوره آموزشی کاملاً هدایتشده و عملی در مورد نحوه حمله به برنامههای کاربردی وب در دنیای واقعی و کارهایی است که میتوانید برای کاهش هر حمله انجام دهید. مدیریت پیکربندی یکی از اولین موضوعاتی است که با آن مواجه خواهید شد و به شما نشان می دهد که چگونه رابط های مدیریتی، بانک های DB، فایل های قدیمی/پشتیبان، آپلود فایل ها و برنامه های کاربردی را به درستی پیکربندی و ایمن کنید. اقدامات کاهشی در برابر حملات رایج احراز هویت و مجوز در مرحله بعدی قرار دارند. به طور خاص، یاد خواهید گرفت که چگونه از برنامه های خود در برابر شمارش کاربر، حملات brute force، فعال بودن اعتبار پیش فرض، دور زدن احراز هویت، حملات پیمایش مسیر، حملات گنجاندن فایل محلی، حملات IDOR و غیره محافظت کنید. مدیریت جلسه ماژول مهم دیگری است که با آن مواجه خواهید شد. در طول دوره PWD، که در آن شما یاد خواهید گرفت که چگونه تثبیت جلسه، متغیرهای جلسه در معرض، CSRF و غیره را کاهش دهید. نقص های منطق تجاری و تأثیر آنها بر وضعیت امنیتی کلی یک برنامه نیز با مثال های واضح پوشش داده شده است. همانطور که حدس میزنید، اعتبارسنجی دادههای مناسب بهمنظور کاهش حملاتی مانند XSS، آلودگی پارامتر HTTP، ORM، SQLi، XXE، SSI، تزریق XPATH، تزریق فرمان، RFI و بسیاری موارد دیگر به تفصیل پوشش داده شده است. یک رویکرد دفاعی جامع نباید از حملات علیه پیادهسازیهای رمزنگاری و سرویسهای وب (XML و JSON-RPC، SOAP & REST، حملات جعلی/عملی و غیره) غافل شود. کدگذاری ایمن کاربردی نیز شامل مواردی مانند کاهش سطح حمله، اعتبارسنجی دقیق ورودی، اصل حداقل امتیاز، دسترسی ایمن به دادهها و توابع و غیره است. هنگامی که دسترسی به کد وجود ندارد، وصله مجازی راه حلی است. PWD نحوه انجام وصله مجازی و نحوه استفاده از آن برای اهداف تشخیص نفوذ/پیشگیری را آموزش می دهد.
لینک دانلود دوره آموزشی INE – Practical Web Defense
حجم: 9.7 گیگابایت
دانلود – بخش اول
دانلود – بخش دوم
دانلود – بخش سوم
دانلود – بخش چهارم
Date: 2023
Publisher: INE
By: Abraham Aranguren
Course Duration: 40h 30m
Format: Video + Slide
Difficulty Level: Professional
The Practical Web Defense course is a fully guided and practical self-study course about how web applications are attacked in the real world and what you can do to mitigate every attack. Configuration management is among the first topics you will come across, showing you how to properly configure and secure admin interfaces, DB listeners, old/backup files, file uploads and applications in general. Mitigations against common authentication and authorization attacks are up next. Specifically, you will learn how to protect your applications against user enumeration, brute force attacks, default credentials being active, authentication schema bypasses, path traversal attacks, local file inclusion attacks, IDOR attacks etc. Session management is another important module you will come across during the PWD course, in which you will learn how to mitigate session fixation, exposed session variables, CSRF etc. Business logic flaws and their impact on the overall security posture of an application is also covered with clear examples. As you would have guessed, proper data validation is covered in detail, in order to mitigate attacks such as XSS, HTTP parameter pollution, ORM, SQLi, XXE, SSI, XPATH injection, Command injection, RFI and many more. A holistic defense approach should not neglect attacks against crypto implementations and web services (XML & JSON-RPC, SOAP & REST, spoofing/action attacks, etc.). Applied secure coding is also included highlighting matters such as attack surface reduction, strict input validation, least privilege principle, secure access to data & functions etc. When no access to code is provided, virtual patching is the way to go. PWD teaches how to perform virtual patching and how to leverage it for intrusion detection/prevention purposes.
Jump to category
Course
Tool Introduction
Activities:4
Tool Introduction – Study Guide
ZAP and cURL
OWTF
OWASP OWTF AND THE OWASP TESTING GUIDE
Information Gathering
Activities:3
Information Gathering – Study Guide
Information Gathering
INFORMATION GATHERING
Configuration Management
Activities:3
Configuration Management – Study Guide
Configuration Management
CONFIGURATION MANAGEMENT
Authentication
Activities:3
Authentication – Study Guide
Authentication
AUTHENTICATION
Authorization
Activities:3
Authorization – Study Guide
Authorization
AUTHORIZATION
Session Management
Activities:3
Session Management – Study Guide
Session Management
SESSION MANAGEMENT
Business Logic Flaws
Activities:3
Business Logic Flaws – Study Guide
Business Logic Flaws
BUSINESS LOGIC FLAWS
Data Validation
Activities:3
Data Validation – Study Guide
Data Validation
DATA VALIDATION FLAWS
Cryptography
Activities:3
Cryptography – Study Guide
Cryptography
CRYPTOGRAPHY
Denial of Service
Activities:3
Denial of Service – Study Guide
Denial of Service
DENIAL OF SERVICE FLAWS
WebServices
Activities:11
WebServices – Study Guide
XML RPC
JSON RPC
SOAP
REST
XML-RPC – Part 1
JSON-RPC
SOAP
RESTFUL WEB SERVICES
RESTFUL WEB SERVICES – Part 2
XML-RPC – Part 2
Client Side and Phishing
Activities:3
Client Side and Phishing – Study Guide
Client Side and Phishing
CLIENT SIDE AND PHISHING
Error Handling and Logging
Activities:3
Error Handling and Logging – Study Guide
Error Handling and Logging
ERROR HANDLING AND LOGGING
Applied Secure Coding Principles
Activities:1
Applied Secure Coding Principles – Study Guide
Virtual Patching and Intrusion Detection
Activities:3
Virtual Patching and Intrusion Detection – Study Guide
Virtual Patching and Intrusion Detection
VIRTUAL PATCHING AND INTRUSION DETECTION
Securing Web Applications
Activities:3
Securing Web Applications – Study Guide
Exam Preparation
Exam Preparation
