INE – Web Application Security Testing: CMS Security Testing

در دنیای برنامه های کاربردی وب مدرن، سیستم های مدیریت محتوا (CMS) ستون فقرات وب سایت های بی شماری هستند که وردپرس یکی از پرکاربردترین سیستم های مدیریت محتوا است. با این حال، فراگیر بودن وردپرس همچنین با توجه به سهم بازار آن، آن را به یک هدف اصلی برای حملات سایبری تبدیل می کند. این دوره برای تجهیز متخصصان امنیتی، نفوذگران برنامه های کاربردی وب و توسعه دهندگان به مهارت ها و دانش مورد نیاز برای شناسایی، ارزیابی، بهره برداری و کاهش آسیب پذیری های امنیتی در وب سایت های وردپرس طراحی شده است.

این دوره با آشنایی شما با فرآیند تست امنیت CMS آغاز می شود و روش جامعی را در اختیار شما قرار می دهد که می توانید از آن به عنوان راهنمای آزمایش کامل CMS ها برای آسیب پذیری ها و پیکربندی های نادرست رایج استفاده کنید. سپس این دوره شما را با وردپرس آشنا می‌کند و روند جمع‌آوری و شمارش اطلاعات در یک سایت وردپرس را به صورت دستی و خودکار شرح می‌دهد. اطلاعات به دست آمده از این مرحله، زمینه را برای مراحل بعدی آماده می کند. سپس با یادگیری نحوه انجام اسکن آسیب پذیری در سایت وردپرسی به منظور شناسایی آسیب پذیری ها در قالب ها و افزونه ها، نحوه استفاده از اطلاعات جمع آوری شده در مرحله شمارش را خواهید آموخت. با داشتن این دانش، سپس یاد خواهید گرفت که چگونه از آسیب پذیری های شناسایی شده در تم ها و از افزونه ها سوء استفاده کنید. دوره INE – Web Application Security Testing: CMS Security Testing همچنین فرآیند انجام انواع مختلف حملات احراز هویت را پوشش می دهد که شامل شمارش حساب های کاربری در یک سایت وردپرس می شود و نحوه استفاده از این نام های کاربری را برای انجام یک حمله brute force برای به دست آوردن اعتبار ورود معتبر نشان می دهد.

Date: 2023
Publisher: INE
By: Alexis Ahmed
Course Duration: 9h
Difficulty Level: Professional

In the world of modern, ever-evolving web applications, Content Management Systems (CMS) are the backbone of countless websites, with WordPress being one of the most widely used Content Management Systems. However, the ubiquity of WordPress also makes it a prime target for cyberattacks given its market share. This course is designed to equip security professionals, web application pentesters, and developers with the skills and knowledge needed to identify, assess, exploit and mitigate security vulnerabilities in WordPress websites.

This course will start off by introducing you to the CMS Security Testing process and will provide you with a comprehensive methodology that you can use as a guide to thoroughly test CMSs for common vulnerabilities and misconfigurations. This course will then introduce you to WordPress and will outline the process of performing information gathering and enumeration on a WordPress site both manually and automatically. The information obtained from this enumeration phase will set the stage for the next phases set to follow.

You will then learn how to put to use the information gathered in the enumeration phase by learning how to perform a vulnerability scan on a WordPress site in order to identify vulnerabilities in themes and plugins. Armed with this knowledge, you will then learn how to exploit vulnerabilities identified in themes and plugins. This course also covers the process of performing various types of authentication attacks that will involve enumerating user accounts on a WordPress site, and will demonstrate how to utilize these usernames to perform a brute force attack to obtain valid login credentials.

Welcome
Introduction
Activities:1

Course Introduction

Lessons
Security Testing Introduction
Activities:4

Introduction to CMS Security Testing

Test your knowledge: Introduction to CMS Security Testing

Introduction to WordPress Security Testing

Test your knowledge: Introduction to WordPress Security Testing

Information Gathering & Enumeration
Activities:11

WordPress Version Enumeration

Test your knowledge: WordPress Version Enumeration

WordPress AdRotate

Enumerating WordPress Users, Plugins & Themes

Test your knowledge: Enumerating WordPress Users, Plugins & Themes

CVE-2017-5487

Enumerating Hidden Files & Sensitive Information

Test your knowledge: Enumerating Hidden Files & Sensitive Information

CVE-2018-8719

WordPress Enumeration with Nmap NSE Scripts

Test your knowledge: WordPress Enumeration with Nmap NSE Scripts

Vulnerability Scanning
Activities:3

WordPress Vulnerability Scanning with WPScan

Test your knowledge: WordPress Vulnerability Scanning with WPScan

CVE-2015-6522

Authentication Attacks
Activities:3

WordPress Brute-Force Attacks

Test your knowledge: WordPress Brute-Force Attacks

WordPress Plugin

Exploiting Vulnerabilities
Activities:5

WP Plugin – Arbitrary File Upload Vulnerability

Test your knowledge: WP Plugin – Arbitrary File Upload Vulnerability

WP Plugin – Stored XSS Vulnerability (CVE-2020-9371)

Test your knowledge: WP Plugin – Stored XSS Vulnerability (CVE-2020-9371)

CVE-2020-9371

WordPress Black-Box Pentest
Activities:3

WordPress Black-Box Pentest

Test your knowledge: WordPress Black-Box Pentest

Exploiting WordPress

Goodbye
Conclusion
Activities:1

Course Conclusion