هجوم الويب والدفاع
Miscellanea / / December 05, 2023
محترف فريد من نوعه من حيث المؤهلات والخبرة، ومعلم رائد في مجال أمن شبكات الكمبيوتر.
كان أول من حصل على مكانة مدرب معتمد في القرصنة الأخلاقية في روسيا. وهو عضو في "دائرة التميز" لمدربي القرصنة الأخلاقية ويتمتع بمكانة مختبر الاختراق المرخص (الماجستير). يسود في فصوله جو احتفال حقيقي بالمعرفة والخبرة والمهارة. المستمعون سعداء - اقرأ المراجعات وانظر بنفسك!
حاصل على 50 شهادة دولية مرموقة منها 30 شهادة في أمن المعلومات والقرصنة الأخلاقية. ماجستير في القرصنة الأخلاقية واختبار الاختراق (ماجستير اختبار الاختراق المرخص). برنامج محترف معتمد في مجال الأمن الهجومي (OSCP) وبرنامج معتمد في مجال الأمان (SCP). مهندس أمان معتمد من Microsoft (MCSE: Security) ومدرب معتمد لـ EC-Council وMicrosoft وCryptoPro.
تحت قيادة سيرجي كليفوجين، وصل فريق المركز المتخصص إلى نهائيات دورة الألعاب الأولمبية السيبرانية العالمية 2015، حيث فاز بالجائزة الأولمبية لأبطال المنطقة!
يشارك بانتظام ويعقد دروسًا رئيسية في المؤتمرات والمنتديات الدولية حول أمن المعلومات - Black Hat، Hacker Halted، OWASP AppSec، Positive Hack Days. مؤلف ومقدم ندوات مجانية حول تقنيات القرصنة واختبار الاختراق.
يتمتع سيرجي بافلوفيتش بخبرة كمبرمج في وزارة الدفاع في الاتحاد الروسي، ومفتش أمن المعلومات في المنطقة المركزية بنك الاتحاد الروسي، رئيس قسم تكنولوجيا المعلومات في أحد البنوك التجارية، مدرس في معهد موسكو الاقتصادي والإحصائي معهد. تعتبر تجربة سيرجي بافلوفيتش قيمة للغاية لأنها توضح الإتقان المهني لمنتجات ومبادئ تكنولوجيا المعلومات وفهم تكامل العمليات التجارية مع تكنولوجيا المعلومات. والأهم من ذلك أن سيرجي بافلوفيتش يشارك تجربته ويمكنه التحدث عن التقنيات المعقدة بكل بساطة ووضوح.
خلال دروسه، يجمع سيرجي بافلوفيتش بين شرح المواد النظرية وشرح إعداد مكونات مختلفة للنظام. يتم استكمال المادة بتفاصيل غالبًا ما تتجاوز نطاق الدورة (نكتة، سؤال ترفيهي غير متوقع، خدعة كمبيوتر مضحكة).
يمكنك العثور على أمثلة على الرابط: فيديو القرصنة.
مدرس خبير لدورات أوراكل وجافا. أخصائي معتمد في أوراكل، مرشح للعلوم التقنية. ويتميز بخبراته المتنوعة في الأنشطة العملية والتدريسية.
في عام 2003، تخرج أليكسي أناتوليفيتش بمرتبة الشرف من ميريا. وفي عام 2006، ناقش أطروحته للدكتوراه حول موضوع بناء أنظمة معلومات آلية آمنة.
متخصص رئيسي في مجال أمن قواعد البيانات، وبناء تطبيقات جافا وتطبيقات الويب الآمنة لـ Oracle DBMS وSQL Server، وتطوير وحدات البرامج المخزنة في PL/SQL وT-SQL. أتمتة أنشطة المؤسسات الكبيرة المملوكة للدولة. يقدم خدمات استشارية واستشارية في تطوير تطبيقات الويب الموزعة المعقدة بناءً على منصة Java EE.
تتجاوز خبرة أليكسي أناتوليفيتش التعليمية في نظام التعليم العالي 7 سنوات. عمل مع عملاء من الشركات، وقام بتدريب موظفي شركات "BANK PSB"، و"جامعة الإنترنت لتكنولوجيا المعلومات (INTUIT)"، و"SINTERRA".
مؤلف العديد من الأدلة التعليمية والمنهجية في البرمجة والعمل مع قواعد البيانات. من عام 2003 إلى عام 2005، شارك أليكسي أناتوليفيتش في التكيف والترجمة الفنية للأدب الأجنبي على برمجة الويب والعمل مع قواعد البيانات. نشر أكثر من 20 ورقة علمية.
يلاحظ الخريجون الممتنون دائمًا طريقة العرض التي يسهل الوصول إليها حتى لأكثر المواضيع تعقيدًا، والإجابات التفصيلية لأسئلة الطلاب، ووفرة الأمثلة الحية من الممارسة المهنية للمعلم.
وحدة 1. مفاهيم موقع الويب (2 أ. ح.)
-مبادئ تشغيل خوادم الويب وتطبيقات الويب
-مبادئ أمن مواقع الويب وتطبيقات الويب
-ما هو أواسب
-نظرة عامة على تصنيف أفضل 10 OWASP
-مقدمة لأدوات تنفيذ الهجمات
- إعداد المعمل
الوحدة 2. الحقن (4 ف. ح.)
-ما هي الحقن ولماذا هي ممكنة؟
-حقن HTML
-ما هو iFrame
-حقن الإطار
-ما هو الـLDAP
-حقن الـLDAP
-ما هي رؤوس البريد
-الحقن في رؤوس البريد
-حقن أوامر نظام التشغيل
-حقن كود PHP
-ما هي الادراجات من جانب الخادم (SSI)
-حقن إس إس آي
- مفاهيم لغة الاستعلام المنظمة (SQL).
-حقن SQL
-ما هو AJAX/JSON/jQuery
-حقن SQL في AJAX/JSON/jQuery
-ما هو اختبار CAPTCHA
-حقن SQL لتجاوز اختبار CAPTCHA
-حقن سكليتي
-مثال على حقن SQL في دروبال
-ما هي حقن SQL المخزنة
-حقن SQL المخزنة
-حقن SQLite المخزنة
-مفاهيم XML
-حقن SQL المخزن في XML
-استخدام وكيل المستخدم
-حقن SQL في حقل وكيل المستخدم
-حقن SQL الأعمى على أساس منطقي
-حقن SQL الأعمى بشكل مؤقت
-حقن SQLite الأعمى
-ما هو بروتوكول الوصول إلى الكائنات (SOAP)
-حقن SQL الأعمى في SOAP
-حقن XML/XPath
الوحدة 3. مصادقة القرصنة والجلسة (2 ac. ح.)
-تجاوز اختبار CAPTCHA
-الهجوم على وظيفة استعادة كلمة المرور
-الهجوم على نماذج تسجيل الدخول
-الهجوم على التحكم في الإخراج
- الهجمات على كلمات المرور
-استخدام كلمات مرور ضعيفة
-استخدام كلمة مرور عالمية
- الهجمات على البوابات الإدارية
- الهجمات على ملفات تعريف الارتباط
- الهجمات على تمرير معرف الجلسة في عنوان URL
-تثبيت الجلسة
الوحدة 4. تسرب البيانات الهامة (2 أ. ح.)
-استخدام ترميز Base64
- فتح نقل بيانات الاعتماد عبر HTTP
- الهجمات على SSL BEAST/CRIME/BREACH
-الهجوم على ثغرة Heartbleed
-ضعف القلطي
-تخزين البيانات في تخزين ويب HTML5
-استخدام الإصدارات القديمة من SSL
-تخزين البيانات في ملفات نصية
الوحدة 5. كائنات XML الخارجية (2 ac. ح.)
-الهجوم على كائنات XML الخارجية
-هجوم XXE عند إعادة تعيين كلمة المرور
-هجوم على الثغرة الأمنية في نموذج تسجيل الدخول
-الهجوم على الثغرة الأمنية في نموذج البحث
-هجوم قطع الخدمة
الوحدة 6. انتهاك التحكم في الوصول (2 أ. ح.)
-مثال على الهجوم على رابط مباشر غير آمن عند تغيير كلمة مرور المستخدم
-مثال على هجوم على رابط مباشر غير آمن عند إعادة تعيين كلمة مرور المستخدم
-مثال على الهجوم على رابط مباشر غير آمن عند طلب التذاكر من متجر إلكتروني
- اجتياز الدليل في الدلائل
- اجتياز الدليل في الملفات
-الهجوم على رأس المضيف يؤدي إلى تسمم ذاكرة التخزين المؤقت
-الهجوم على رأس المضيف مما يؤدي إلى إعادة تعيين كلمة المرور
-بما في ذلك الملف المحلي في SQLiteManager
-تمكين الملف المحلي أو البعيد (RFI/LFI)
-هجوم تقييد الجهاز
-هجوم تقييد الوصول إلى الدليل
-هجوم SSRF
-الهجوم على XXE
الوحدة 7. تكوين غير آمن (2 ac. ح.)
-مبادئ هجمات التكوين
- الوصول العشوائي إلى الملفات في سامبا
- ملف سياسة فلاش عبر المجال
-الموارد المشتركة في AJAX
-التتبع عبر المواقع (XST)
-رفض الخدمة (حجم القطعة الكبير)
- رفض الخدمة (بطء HTTP DoS)
-رفض الخدمة (استنفاد SSL)
-رفض الخدمة (قنبلة XML)
-تكوين DistCC غير آمن
- تكوين FTP غير آمن
-تكوين NTP غير آمن
-تكوين SNMP غير آمن
-تكوين VNC غير آمن
-تكوين WebDAV غير آمن
- تصعيد الامتياز المحلي
-رجل في الهجوم الأوسط في HTTP
-رجل في الهجوم الأوسط في SMTP
- تخزين غير آمن للملفات المؤرشفة
-ملف الروبوتات
الوحدة 8. البرمجة النصية عبر المواقع (XSS) (3 ac. ح.)
-ينعكس XSS في طلبات GET
-ينعكس XSS في طلبات POST
-عكس XSS إلى JSON
-ينعكس XSS في أجاكس
ينعكس XSS في XML
-ينعكس XSS في زر العودة
-ينعكس XSS في وظيفة التقييم
-ينعكس XSS في سمة HREF
-ينعكس XSS في نموذج تسجيل الدخول
-مثال على XSS المنعكس في phpMyAdmin
-ينعكس XSS في متغير PHP_SELF
-ينعكس XSS في رأس المُحيل
-ينعكس XSS في رأس وكيل المستخدم
-انعكاس XSS في الرؤوس المخصصة
-تخزين XSS في مشاركات المدونة
-XSS المخزنة عند تغيير بيانات المستخدم
-تخزين XSS في ملفات تعريف الارتباط
-XSS المخزنة في SQLiteManager
-XSS المخزنة في رؤوس HTTP
الوحدة 9. إلغاء التسلسل غير الآمن (2 ac. ح.)
- عرض لحقن كائن PHP
-الحقن الخلفي أثناء إلغاء التسلسل
-إلغاء التسلسل غير الآمن في جافا سكريبت
الوحدة 10. استخدام المكونات ذات نقاط الضعف المعروفة (2 ac. ح.)
-هجمات تجاوز سعة المخزن المؤقت المحلي
-هجمات تجاوز سعة المخزن المؤقت عن بعد
-حقن SQL في دروبال (دروبجيدون)
-ضعف نزف القلب
-تنفيذ التعليمات البرمجية عن بعد في PHP CGI
-الهجوم على وظيفة PHP Eval
- ثغرة أمنية في علامة phpMyAdmin BBCode Tag XSS
– ثغرة في الصدمات
-ربط ملف محلي في SQLiteManager
-حقن كود PHP في SQLiteManager
-XSS في SQLiteManager
الوحدة 11. عدم وجود التسجيل والرصد (1 ac. ح.)
-مثال على عدم كفاية التسجيل
-مثال على ثغرة التسجيل
-مثال على عدم كفاية المراقبة
سوف تتعرف على المعيار الدولي لأمن المعلومات ISO/IEC 27002 وستتلقى توصيات عملية لإدارة نظام أمن المعلومات لشبكة المؤسسة وفقًا للمعايير واتخاذ القرارات المعقدة، بما في ذلك: منع الحوادث في مجال أمن الكمبيوتر، وإنشاء وتنفيذ وصيانة هذه الحوادث أنظمة.
4,1