آموزش نفوذ و امنیت (Ethical Hack) – بخش سوم

هک اخلاقی: مهندسی اجتماعی

جزئیات دوره آموزش Ethical Hack پبخش سوم
مهندسی اجتماعی تکنیکی است که هکرها برای دستکاری کاربران نهایی و به دست آوردن اطلاعات در مورد یک سازمان و یا سیستم های رایانه‌ای به کار می‌گیرند. متخصصین امنیت فناوری اطلاعات برای محافظت از این شبکه ها می‌بایست مهندسی اجتماعی، افراد مورد هدف و نحوه هماهنگ سازی و تنظیم حملات مهندسی اجتماعی را بشناسند.
در این دوره آموزشی، متخصص امنیت سایبری، لیزا بوک، روشهایی را که یک هکر ممکن است استفاده کند، شامل تعبیه لینک های مخرب و پیوستها داخل ایمیلها و استفاده از دستگاه های تلفن همراه و رسانه های اجتماعی را برای استقرار حمله، مورد بحث قرار می‌دهد. او در مورد مفهوم “سوء استفاده از اعتماد” بحث می‌کند. ینکه هکرها چگونه از جذابیت، قدرت و نفوذ برای نفوذ در سازمان شما استفاده می کنند و اینکه چرا شما باید در مورد کارمند ناراضی، احتیاط بیشتری به خرج بدهید. در انتهای این دوره، لیزا در مورد آن دسته از اقدامات مقابله‌ای صحبت می‌کند، که متخصصین امنیتی می‌توانند از آنها برای مقابله با این حملات بهره ببرند.

هک اخلاقی: انکار سرویس

جزئیات دوره آموزش Ethical Hackپبخش سوم
هک اخلاقی شامل بررسیها و تست این موضوع می‌شود که آیا شبکه یک سازمان در برابر تهدیدات خارجی، آسیب پذیر است یا خیر. حملات انکار سرویس(DoS) ، یکی از بزرگترین تهدیدات موجود است. توانایی کاهش حملات DoS، از جمله مهارتهای مطلوب برای هر متخصص امنیت فناوری اطلاعات بوده و همچنین یک موضوع اصلی در تست Certified Ethical Hacker است. در این دوره آموزشی، شما همچنین با تاریخچه حملات عمده DoS و انواع تکنیک هایی که هکرها برای فلج کردن شبکه ها، برنامه ها و خدمات بی سیم و سیمی در زیرساختها استفاده می‌کنند، آشنا خواهید شد. مربی این دوره آموزشی،Malcolm Shore ، روشهای اساسی را که هکرها برای جریان سیل آسا (Flooding) در شبکه ها و آسیب رساندن به سرویسها استفاده می‌کنند، همچنین تهدید فزاینده باج افزار مانندCryptolocker ، تکنیک های تخفیف برای شناسایی و شکست حملات DoS و موارد دیگر را به طور کامل پوشش می‌دهد.

هک اخلاقی: هک کردن سرورهای وب و برنامه های وب

جزئیات دوره آموزش Ethical Hack پبخش سوم
وب سایت ها و برنامه های وب، بنا به ماهیت خود، از راه دور قابل دسترسی هستند که این امر آنها را در معرض خطر بالای حملات سایبری قرار می‌دهد. دانستن چگونگی شناسایی و جلوگیری از حملات وب، یک مهارت اساسی برای توسعه دهندگان و متخصصان امنیت اطلاعات است. در این دوره آموزشی، در مورد پروتکل های وب موجود و در حال ظهور، همچنین چگونگی تست، بررسی و آزمایش سایت ها و برنامه های خود به منظور بررسی نقاط ضعف، اطلاعات زیادی کسب خواهید کرد. مالکوم شور، مدرس و متخصص امنیت سایبری، در این دوره آموزشی بخشهای مختلف یک برنامه وب را بررسی کرده و پروژه امنیت نرم‌افزاری تحت وب (OWASP)  را معرفی می‌کند، که اسناد، ابزارها و انجمن ها را برای توسعه دهندگان وب و Tester ها یا آزمایش کنندگان فراهم می‌کند. وی در طی این آموزش همچنین، مروری خواهد داشت بر ابزارهای محبوب تست، از جملهBurp Suite و. OWASP ZAP. شما در این دوره همچنین می‌آموزید که چگونه از این برنامه های کاربردی برای اجرای تستهای اساسی و پیشرفته و همچنین محافظت از سایتها در برابر حملات رایج استفاده کنید.

هک اخلاقی: هک کردن سرورهای وب و برنامه های وب

جزئیات دوره آموزش Ethical Hack پبخش سوم
وب سایت ها و برنامه های وب، بنا به ماهیت خود، از راه دور قابل دسترسی هستند که این امر آنها را در معرض خطر بالای حملات سایبری قرار می‌دهد. دانستن چگونگی شناسایی و جلوگیری از حملات وب، یک مهارت اساسی برای توسعه دهندگان و متخصصان امنیت اطلاعات است. در این دوره آموزشی، در مورد پروتکل های وب موجود و در حال ظهور، همچنین چگونگی تست، بررسی و آزمایش سایت ها و برنامه های خود به منظور بررسی نقاط ضعف، اطلاعات زیادی کسب خواهید کرد. مالکوم شور، مدرس و متخصص امنیت سایبری، در این دوره آموزشی بخشهای مختلف یک برنامه وب را بررسی کرده و پروژه امنیت نرم‌افزاری تحت وب (OWASP)  را معرفی می‌کند، که اسناد، ابزارها و انجمن ها را برای توسعه دهندگان وب و Tester ها یا آزمایش کنندگان فراهم می‌کند. وی در طی این آموزش همچنین، مروری خواهد داشت بر ابزارهای محبوب تست، از جملهBurp Suite و. OWASP ZAP. شما در این دوره همچنین می‌آموزید که چگونه از این برنامه های کاربردی برای اجرای تستهای اساسی و پیشرفته و همچنین محافظت از سایتها در برابر حملات رایج استفاده کنید.

سرفصل های این پکیج آموزشی::

 مقدمه

تعریف مهندسی اجتماعی
آنچه باید بدانید
هک اخلاقی

 بررسی اجمالی مهندسی اجتماعی

بررسی اجمالی مهندسی اجتماعی
قربانی را تجسم کنید
مهارت های یک مهندس اجتماعی
حمله را بشناسید

 مکانیسم های مهندسی اجتماعی

جذابیت ، قدرت و نفوذ
مرورگرها برای مهندسی اجتماعی
حملات مبتنی بر موبایل
با رسانه های اجتماعی دستکاری کنید

 سو Mis استفاده از اعتماد

کارمندان ناراضی
از حملات خودی جلوگیری کنید
یک هویت را بدزدید

 تست نفوذ با مهندسی اجتماعی

ایمیل و وب سایت ها
حضوری و تلفنی
جعبه ابزار مهندس اجتماعی
SET در کالی لینوکس

 اقدامات متقابل مهندسی اجتماعی

تأثیرات و اقدامات متقابل
آشنایی با هرزنامه
جلوگیری از حملات فیشینگ

 نتیجه گیری

مراحل بعدی

انکار خدمات

 مقدمه

نحوه تست نقاط ضعف انکار خدمات
آنچه باید بدانید
سلب مسئولیت

انکار خدمات چیست

آشنایی با عدم پذیرش خدمات
بررسی محیط آزمون

 انکار خدمات زیرساختی

TCP SYN جاری شدن سیل با استفاده از hping3
طغیان Smurf با hping و Hyenae
UDP غرق شدن با LOIC
مسمومیت با ARP با ettercap
استفاده از NTP برای تقویت حملات
NEW – تقویت با استفاده از memcached
NEW – DDoS چه زمانی DDoS نیست

انکار بی سیم خدمات

احراز هویت از یک میزبان بی سیم

 انکار برنامه از خدمات

سیل HTTP با استفاده از GoldenEye
آزمایش برنامه های وب با استفاده از OWASP Switchblade
آشنایی با BlackEnergy
-کشتن یک برنامه FTP

 حملات سرویس SIP

سیل سرور SIP

 باج افزار

توضیح باج افزار
آشنایی با Cryptolocker
آشنایی با پتیا

 تکنیک های کاهش

شکست حملات انکار سرویس
خدمات ضد DOS تجاری
شناسایی حملات P2P با PeerShark

 نتیجه گیری

خلاصه

جلسه  ربودن مقدمه

آشنایی با  ربودن جلسه
آنچه قبل از تماشای این دوره باید بدانید
سلب مسئولیت

ربودن جلسه شبکه

آشنایی با اعداد توالی TCP
ربودن جلسه Telnet

  ربودن جلسات وب

آشنایی با جلسات وب
آشنایی با وب سوکت ها
بانکداری در صفر
جلسات  ربودن با استفاده از man-in-the-browser
رهگیری جلسات از طریق مرد در وسط
حذف SSL برای پایین آوردن سطح جلسه
ربودن جلسه HTTP از طریق کوکی ها
استفاده از Subterfuge برای ربودن جلسات از طریق مسمومیت با ARP
استفاده از Webscarab-NG به عنوان پروکسی وب

 ابزارهای اضافی

استفاده از Zed Attack Proxy ‪(ZAP)‬
استفاده از قابیل

ربودن

جلسات  ربودن SSH
ربودن ۱۸-DNS
ربودن

  ربودن در جهان فیزیکی

رفتن فیزیکی –  ربودن و هواپیماهای بدون سرنشین را ربوده اید
داشتن فیزیک بیشتر با هواپیماهای بدون سرنشین

 نتیجه گیری

مراحل بعدی

هک وب سرورها و وب

 مقدمه

آشنایی با تست وب
آنچه باید بدانید
سلب مسئولیت

 معرفی وب سرورها

عناصر برنامه های تحت وب
تجزیه و تحلیل پروتکل HTTP_HTTPS
رفتن به Webstocks
نگاهی به پروتکل Google QUIC
آشنایی با کوکی ها
معرفی HTML
بازدید از OWASP

 آماده شدن برای تست

معرفی بانک صفر
نصب سرور WebGoat
معرفی Burp Suite
اسکن با ZAP
پروکسی با ZAP
معرفی WebScarab

 اجرای تستهای اساسی برنامه وب

سرورهای وب اثر انگشت
به دنبال اعتبارنامه در کد HTML هستید
استفاده از ظرف های کلوچه
جلسات  ربودن با کوکی ها

 تست های پیشرفته برنامه وب

دستکاری پارامترهای URL
آزمایش تزریق SQL
برنامه نویسی متقابل سایت
تزریق دستورات از طریق URL
-تست با Uniscan

 تمرین مهارت های خود

تمرین با وب سایت های بانکی آنلاین
هک کردن پنیر
آموزش در Dojo امنیت وب

 نتیجه گیری

مراحل بعدی

فرار از IDS ، فایروال ها و Honeypots

 مقدمه

نقاط ضعف را در محیط پیدا کنید
آنچه باید بدانید
سلب مسئولیت دوره

 دیوارهای آتش

آشنایی با فایروال ها
اصول فایروال ویندوز را اعمال کنید
از ویژگی های پیشرفته در Firewall Windows استفاده کنید
سیاهههای مربوط به دیوار آتش را مرور کنید
آشنایی با جدول های IP لینوکس
فایروال IPTables را تنظیم کنید
قوانین را با Firewall Builder مدیریت کنید
آزمایش پورت

 فایروال های سخت افزاری

فایروال Cisco PIX را تنظیم کنید
یک محوطه امن ایجاد کنید

 شبیه سازی شبکه با استفاده از GNS3

GNS3 را نصب کنید
تصاویر دستگاه شبکه را بدست آورید
یک شبکه راه اندازی کنید
فایروال ASA را شبیه سازی کنید
کالی را در GNS3 ادغام کنید

 دستگاه های مخصوص محیط پیرامونی

فایروال های برنامه وب را آشنایی با کنید
از سرویس های API با درگاه WSO2 محافظت کنید
گلدان های عسلی را بفهمید
ساعت هانی پات Cowrie را اجرا کنید

 محافظت در برابر نفوذ

تکنیک های پاسخ به نفوذ
x لیست سایت ها
قوانین خرخر
با امنیت پیاز ، نفوذها را تشخیص دهید
IDS را با شهرت گسترش دهید
انیشتین

 نتیجه گیری

مراحل بعدی