إنطلاق كورس إختبار إختراق تطبيقات الويب باللغة العربية مجانا

السلام عليكم ورحمة الله وبركاته أحبتي في الله.

يسر مدونة مجتمع الحماية العربي أن تعلن عن إطلاق كورس إختبار إختراق تطبيقات الويب باللغة العربية
Web Applications Penetration Testing Course

واللذي يشرح بالتفصيل ثغرات المواقع مع أمثلة عمليه علي شركات عالمية عن كيفية حدوث الثغرات وكيف يتم إستغلالها.

تم التركيز في الكورس علي وضع أساسيات مهمه جدا لابد وأن يفهمها كل مختبر إختراق قبل البدأ في إكتشاف وإستغلال الثغرات.

ما اللذي سيتم شرحه في الكورس:

Introduction Day:
1. Course Requirements:
Installing necessary browser plugins (Wappalyzer, FlagFox, FoxyProxy)
Virtualbox + Ubuntu
Java & Burp Suite

First session (Warming Up):
Deep dive into data leaks (Haveibeenpwned.com & Shodan.io)

Part 1:
1. Linux Basics:
Introduction to Linux Structure & files permissions.
Packages & installation process
Command line examples
(man, apt-get, apt-cache, find, grep, cut, sort, curl, wget, >, >>, |, ;, head, tail, nano, touch, &, ps, df, top)
Installing LAMP stack.

2. Introduction Topics:
1- OSI Model in a Nutshell (Life of a Packet)
2- Wireshark & NetworkMiner
3- TCP/UDP/HTTP/HTTPS Protocols
3- Nmap basics
4- HTTP Methods & HTTP Response Types
5- HTTP Headers
6- Web Authentication Methods, Cookies, Sessions
7- Encryption, Encoding, Hashing
10- DNS Basics, A, MX, CNAME Records
11- PTR Records (Reverse DNS) & PassiveDNS (Yahoo or Facebook Example)
12- What happens when I open https://www.facebook.com in my browser?
13- Basic PHP examples (GET vs POST)
14. CORS, CSP & SOP

3. BurpSuite:
1- What is Burp and why we need it?
2- A Jurney into Burp Tabs
3- Burp configuration
4- Get your hands dirty using burp

Part 2:
1. Easy Web Applications Attacks:
1- HTTP Verb Tampering Attack
2- Open Redirection
3- Host Header Attacks
4- Session Fixation
5- Text Injection & HTML Injection
6- ClickJacking
5- Insecure Direct Object Reference (IDOR)
6- Hanging Fruits (Forgotten backup files and status pages)

2. Meduim Web Applications Vulnerabilities:
1. Cross Site Scripting (XSS)
1- Basics of XSS
2- Reflected, Stored & DOM based XSS
3- XSS Payloads
3- Google XSS challenges step by step
4- Your task is to write and test XSS Cookie stealer

2. Cross Site Request Forgery (CSRF)
1- CSRF Basics
2- How to find a CSRF Vulnerability
3- CSRF Exploitation

3. Subdomain Takeover

Part 3:
1. Advanced Web Applications Vulnerabilities:
1. SQL Injection
1- SQL Basics
2- SQL Injection Basics & SQL Types (Union Based, Boolean Based, Time Based)
3- Manual Union Based SQL Injection Exploitation
4- Manual Boolean Based SQL Injection Exploitation
5- Manual Time Based SQL Injection Exploitation
6- A Walk through SQLMAP
7- Exploiting SQL Injection Vulnerabilities with SQLMAP

2. Server Side Request Forgery (SSRF)
1- SSRF Basics
2- How to find SSRF Vulnerabilities
3- SSRF Exploitation Demo
4- SSRF vs XSPF

3. Remote Command Execution
1- RCE Basics
2- How to find RCE Bugs in the Source Code (Example on PHP)
3- RCE Exploitation Demo (ShellShock or else)

4. Remote Code Execution
1- RCE Basics
2- How to find RCE Bugs in the Source Code
3- RCE Exploitation Demo on Yahoo

5. Local/Remote File Inclusion

6. XXE (External Entity Injection)

7. CSTI & SSTI (Client/Server Side Template Injection)

7. Object Injection Vulnerabilities

8. File Upload Attacks
1- Bypassing file uploads security restrictions (Multiple methods)
2- Demo on Twitter.com

Part 4:
8. Real Life Demo
1. Enumerating and scanning 200.000+ Yahoo Hostname!

9. Conclusion & References

بفضل من الله عز وجل إنتهينا في الوقت الحالي من تسجيل 23 درس وتم طرحهم جميعا علي Playlist واحده يتم تحديثها بشكل اسبوعي بدروس جديدة من الكورس. يمكنكم مشاهدة الدروس من خلال الرابط التالي:

معلومات يجب أن تعرفها عن الكورس:

١- دروس الكورس يتم تحديثها وطرح دروس جديدة يوم الأحد من كل اسبوع, لذا ننصحك بالإشتراك في القناة حتي يصلك الجديد أول بأول

٢- تم إنشاء جروب علي الفيس بوك خاص بالكورس حتي يتثني لمن لديه أي سؤال او لديه صعوبة في فهم شئ ما من طرح أسالته وسيتم الإجابه عليها من قبل المختصين إن شاء الله. رابط جروب الفيس بوك:
https://www.facebook.com/groups/328952157561088/

٣- الكورس مجاني وسيظل مجاني حتي إنتهائه إن شاء الله ولا نسألكم سوي الدعاء لي ولوالدي بالرحمه والمغفرة

٤- الدروس التي تم الإنتهاء منها كانت شروحات للاساسيات التي يحتاجها أي مختبر إختراق, والدروس القادمة ان شاء الله بدأ من الأحد القادم ستكون مختصة بالويب Web فقط

٥- تحتاج أن تقرأ البوست التالي قبل أن تبدأ في الكورس لأنه يحتوي علي إجابات لإسئله كثيرة يتم سؤالها بشكل مستمر:
https://www.facebook.com/groups/328952157561088/permalink/343153629474274/

٦- تم تجهيز lab للمتدربين في الكورس حتي يتمكنوا من التطبيق العملي وحل مسابقات تمكنهم من تطوير مهاراتهم في مجال اختبار الإختراق. ال Lab الأول واللذي يخص الدروس التي تم الإنتهاء منها يمكنكم الوصول إليه من خلال الرابط التالي ويمكنكم أيضا طرح أسالتكم في نفس الرابط. هل يمكنكم حله وتخطيه؟

https://www.facebook.com/groups/328952157561088/permalink/343153629474274/

٧- ال Lab الخاص بثغرات الويب سيتم طرحه فور البدأ بشرح ثغرات ال SQL Injection ان شاء الله

وفي الأخير أود أن أشكر كل من الأشخاص التالية أسماءهم لمساهمتهم في أن يخرج الكورس بهذا الشكل ومساهمتهم في الإجابة علي أسالة المتدربين بشكل مستمر:

محمود علام

محمد عبدالعاطي

أحمد أبوالعلا

اسامه النجار

راجين من الله عز وجل أن نكون عند حسن ظنكم بنا.