الإنتقال للتصميم الجديد

دورة اختبار اختراق المواقع باستخدام Kali Linux

دورة اختبار اختراق المواقع باستخدام Kali Linux

الوصف

اختبار الاختراق (penetration test) ويسمى أيضا "الاختراق الأخلاقي (ethical hacking)" هو عملية محاكاة لهجوم سيبراني مصرح به على أنظمة الحاسب الآلي بشكل عام تتم لتقييم مستوى الحماية على نظام ما. يتم هذا الاختبار لتحديد نقاط الضعف (الثغرات) ومعرفة ما إذا كان بالإمكان لجهات غير مصرح لها أن تصل لأجزاء من الأنظمة وبياناتها، علاوة على معرفة نقاط القوة وهذا ما يقود إلى تقديم تقرير تقييم المخاطر بشكل كامل. هذه الدورة تتمحور حول اختبار اختراق مواقع الإنترنت على وجه التحديد.

في هذه الدورة العملية سنقوم بالتركيز على الجانب العملي من اختبار الاختراق مع عدم الإخلال بالنظرية ولا تتطلب أي معرفة مسبقة لك في الأمن السيبراني بشكل عام أو بالاختراق بشكل خاص بحيث سنبدأ من مستوى الصفر حتى تنتهي معنا لمستوى عالي في النهاية بحيث سنتعرف على أساليب المخترقين "القبعات السوداء black-hat hackers" وسنستخدم طرقهم لكي نتمكن من فهم تلك الأساليب والتعامل معها.


سنقوم سويا بتجهيز معمل الاختراق الخاص بك hacking-lab بحيث يتم تأمين جهازك الخاص ويتم عزله عن بيئة العمل الافتراضية لك ثم قبل الدخول للاختراق سنبدأ بأهم الخطوات وهي جمع البيانات مرورا بجميع المراحل حتى نصل لكيفية كتابة تقارير عن عمليات اختبار الاختراق التي تمت.

من هم المستفيدون من هذه الدورة؟

  • كل من لديه الرغبة في تعلم اختبار الاختراق "الهاكر الأخلاقي"
  • مطورين مواقع الويب لزيادة مستوى الأمان في برمجياتهم
  • مدراء المواقع لمعرفة الثغرات الموجودة في المواقع والتعامل معها
  • من يرغب في العمل في مجال الأمن السيبراني - اختبار الاختراق كوظيفة
  • من يرغب بالدخول لمجال اصطياد الجوائز Bug Bounty

ماذا سنتعلم في هذه الدورة؟

  • مفاهيم في اختبار الاختراق
  • مقدمة عن تقنيات الويب وكيف تعمل المواقع
  • أساسيات نظام التشغيل Linux
  • أساسيات سطر أوامر نظام Linux
  • أساليب البدء في عمليات اختبار الاختراق
  • جمع المعلومات Information Gathering
  • ثغرات رفع الملفات File Upload Vulnerabilities
  • ثغرات التنفيذ Code Execution Vulnerabilities
  • ثغرات Local File Inclusion - LFI
  • ثغرات Remote File Inclusion - RFI
  • ثغرات حقن قواعد البيانات وأنواعها SQL Injection Vulnerabilities
  • فهم وكيفية استغلال ثغرات XSS
  • التعامل مع واستغلال ثغرات الجلسات Insecure Session Management
  • هجمات Brute Force
  • هجمات Dictionary Attacks
  • كتابة تقارير اختبارات الاختراق وتقديمها
  • مصادر إضافية للتعلم

المدرب

الأقسام

المقدمة

مقدمة عن الدورة وعن اختبار اختراق مواقع الإنترنت

إنشاء معمل اختبار الاختراق PenTest Lab

في السلسلة القادمة سنتعلم كيف نقوم بإنشاء معمل Lab معزول عن بيئة التشغيل الأساسية وكيف نحصل على نظام كالي لينكس ونقوم بتثبيته كنظام تشغيل افتراضي مع النظام الأساسي

تقنيات الويب

في هذا القسم ستتعلم عن تقنيات الويب وكيف تبنى مواقع الإنترنت

أساسيات سطر أوامر لينكس Linux Command Line

سطر أوامر لينكس هو المفتاح المشترك مابين جميع أنظمة لينكس وأيضا هو الأداة الأساسية التي سوف نستخدمها في تشغيل برمجيات اختبار الاختراق والتعامل مع النظام

إدارة المستخدمين والمجموعات بنظام Linux

سنتعلم كيف نقوم بإدارة المستخدمين والمجموعات في النظام بحيث يمكننا إضافة وحذف المستخدمين والتعديل على صلاحيات وصولهم

جمع المعلومات عن الأهداف Information Gathering

في القسم الحالي سنتعلم كيف يمكن جمع المعلومات عن مواقع الإنترنت عبر استخدام خدمات متاحة عبر الإنترنت أو برمجيات مخصصة لذلك

ثغرات رفع الملفات File Upload Vulnerabilities

من أشهر ثغرات مواقع الويب هي ثغرة رفع الملفات والتي تسمح لنا برفع ملفات متعددة وربما تكون هذه الملفات تحتوي على برمجيات خبيثة تضر الآخرين أو تسمح لنا بالوصول المباشر للخوادم

ثغرات تنفيذ الأوامر Command Execution Vulnerabilities

ثغرة تنفيذ الأوامر هي ثغرة تسمح لنا بتنفيذ أنواع متعددة من الأوامر على نظام التشغيل المستضيف للموقع وهذا يعني استعراض البيانات الحساسة أو الوصول للخادم والاتصال به

ثغرات تضمين الملفات المحلية Local File Inclusion

في السلسلة القادمة سنرى خطورة ثغرات Local File Inclusion - LFI والتي تحدث بسبب قدرة المهاجم على تضمين ملفات خارج نظام الموقع وقرائتها أو التعديل عليها

ثغرات تضمين الملفات الخارجية Remote File Inclusion

ثغرات تضمين الملفات الخارجية ويرمز لها RFI هي من ثغرة مشابهة لما تعلمناه سابقة في LFI ما عدا وجود إختلاف في أماكن الملفات ففي هذه الثغرات الملفات يوجد خارج الخوادم على عكس السابقة الموجودة داخل الخوادم وهي تعد أخطر من سابقتها

ثغرات حقن قواعد البيانات SQL Injection Vulnerabilities

تعتبر من أخطر الثغرات في الويب هي ثغرة SQL Injection والتي تتيح لنا الوصول لمعلومات مسجلة في قواعد البيانات وقرائتها أو تغييرها وسنتعلم ذلك في السلاسل القادمة من الدروس

ثغرات Cross Site Scripting XSS

ثغرات XSS هي الثغرات التي تحدث لدى المستخدمين ولا تحدث في الخوادم وهي من الثغرات الشهيرة والخطرة جدا كونها تعمل على متصفح المستخدم وبلغة جافاسكربت التي لا يخلو منها موقع حديث في هذه الأيام

ثغرات Insecure Session Management

تتمحور ثغرات Insecure Session Management حول أخطاء في إدارة الجلسات في خوادم الويب وسنتعرف في السلسلة القادمة على هذا النوع من الأخطاء وماهي الأحداث الأشهر التي يمكن أن تتسبب في اختراق المواقع وكيف نحميها

هجمات Dictionary Attacks & Brute Force

سنرى في السلسلة القادمة المقصود بهجمات brute force و dictionary attacks والتي تتمحور حول استخدام برمجيات لتخمين كلمات المرور ومحاولة الدخول للخدمات من خلالها

كتابة التقارير والمراجع

في القسم الحالي سنتعلم حول كيفية كتابة تقارير اختبار الاختراق pentesting reporting مع مراجع إضافية حول تعلم اختبار الاختراق

عينة من الدروس المجانية

دورات يوصى بها