انطلاق مرحلة “نمذجة المنتج” ضمن المبادرة الإعلامية لمؤسسة قطر وضعت لجنة تحكيم برنامج نجوم العلوم ثلاثة من المبتكرين العرب الشباب على المحكّ ضمن جولات نمذجة المنتج هذا الأسبوع. ووقع اختيار اللجنة على الشاب محمد الجفيري وزميله أحمد نبيل، اللذين نجحا في العبور إلى المرحلة التالية لإكمال مشوارهم في البرنامج، تاركين بأسى زميلهما وسام منشي الذي […]
The post تأهل مبتكريَن للمرحلة المقبلة في ” نجوم العلوم “ appeared first on مجلة نقطة العلمية.
كما هو الحال كل عام، يبرز برنامج نجوم العلوم أهم العلماء والمخترعين العرب، يقدمون العديد من الأفكار التي من المتوقع أن تغير حياة أناس كثيرون إلى الأفضل. وكما هي العادة، يجتمع عدد من المخترعين، ليقدموا أفضل ما لديهم ضمن مسابقة سنوية لإختيار أفضل مبتكر في العالم العربي، وذلك ضمن مهمة صعبة ومنافسة قوية يخوضها المتسابقون. […]
The post مرحلة التصفيات الأولى في برنامج نجوم العلوم appeared first on مجلة نقطة العلمية.
السلام عليكم ورحمة الله وبركاته أحبتي في الله.
يسر مدونة مجتمع الحماية العربي أن تعلن عن إطلاق كورس إختبار إختراق تطبيقات الويب باللغة العربية
Web Applications Penetration Testing Course
واللذي يشرح بالتفصيل ثغرات المواقع مع أمثلة عمليه علي شركات عالمية عن كيفية حدوث الثغرات وكيف يتم إستغلالها.
تم التركيز في الكورس علي وضع أساسيات مهمه جدا لابد وأن يفهمها كل مختبر إختراق قبل البدأ في إكتشاف وإستغلال الثغرات.
Introduction Day:
1. Course Requirements:
Installing necessary browser plugins (Wappalyzer, FlagFox, FoxyProxy)
Virtualbox + Ubuntu
Java & Burp Suite
First session (Warming Up):
Deep dive into data leaks (Haveibeenpwned.com & Shodan.io)
Part 1:
1. Linux Basics:
Introduction to Linux Structure & files permissions.
Packages & installation process
Command line examples
(man, apt-get, apt-cache, find, grep, cut, sort, curl, wget, >, >>, |, ;, head, tail, nano, touch, &, ps, df, top)
Installing LAMP stack.
2. Introduction Topics:
1- OSI Model in a Nutshell (Life of a Packet)
2- Wireshark & NetworkMiner
3- TCP/UDP/HTTP/HTTPS Protocols
3- Nmap basics
4- HTTP Methods & HTTP Response Types
5- HTTP Headers
6- Web Authentication Methods, Cookies, Sessions
7- Encryption, Encoding, Hashing
10- DNS Basics, A, MX, CNAME Records
11- PTR Records (Reverse DNS) & PassiveDNS (Yahoo or Facebook Example)
12- What happens when I open http://ift.tt/g8FRpY in my browser?
13- Basic PHP examples (GET vs POST)
14. CORS, CSP & SOP
3. BurpSuite:
1- What is Burp and why we need it?
2- A Jurney into Burp Tabs
3- Burp configuration
4- Get your hands dirty using burp
Part 2:
1. Easy Web Applications Attacks:
1- HTTP Verb Tampering Attack
2- Open Redirection
3- Host Header Attacks
4- Session Fixation
5- Text Injection & HTML Injection
6- ClickJacking
5- Insecure Direct Object Reference (IDOR)
6- Hanging Fruits (Forgotten backup files and status pages)
2. Meduim Web Applications Vulnerabilities:
1. Cross Site Scripting (XSS)
1- Basics of XSS
2- Reflected, Stored & DOM based XSS
3- XSS Payloads
3- Google XSS challenges step by step
4- Your task is to write and test XSS Cookie stealer
2. Cross Site Request Forgery (CSRF)
1- CSRF Basics
2- How to find a CSRF Vulnerability
3- CSRF Exploitation
3. Subdomain Takeover
Part 3:
1. Advanced Web Applications Vulnerabilities:
1. SQL Injection
1- SQL Basics
2- SQL Injection Basics & SQL Types (Union Based, Boolean Based, Time Based)
3- Manual Union Based SQL Injection Exploitation
4- Manual Boolean Based SQL Injection Exploitation
5- Manual Time Based SQL Injection Exploitation
6- A Walk through SQLMAP
7- Exploiting SQL Injection Vulnerabilities with SQLMAP
2. Server Side Request Forgery (SSRF)
1- SSRF Basics
2- How to find SSRF Vulnerabilities
3- SSRF Exploitation Demo
4- SSRF vs XSPF
3. Remote Command Execution
1- RCE Basics
2- How to find RCE Bugs in the Source Code (Example on PHP)
3- RCE Exploitation Demo (ShellShock or else from my findings)
4. Remote Code Execution
1- RCE Basics
2- How to find RCE Bugs in the Source Code
3- RCE Exploitation Demo on Yahoo
5. Local/Remote File Inclusion
6. XXE (External Entity Injection)
7. CSTI & SSTI (Client/Server Side Template Injection)
7. Object Injection Vulnerabilities
8. File Upload Attacks
1- Bypassing file uploads security restrictions (Multiple methods)
2- Demo on Twitter.com
Part 4:
8. Real Life Demo
1. Enumerating and scanning 200.000+ Yahoo Hostname!
9. Conclusion & References
بفضل من الله عز وجل إنتهينا في الوقت الحالي من تسجيل 23 درس وتم طرحهم جميعا علي Playlist واحده يتم تحديثها بشكل اسبوعي بدروس جديدة من الكورس. يمكنكم مشاهدة الدروس من خلال الرابط التالي:
١- دروس الكورس يتم تحديثها وطرح دروس جديدة يوم الأحد من كل اسبوع, لذا ننصحك بالإشتراك في القناة حتي يصلك الجديد أول بأول
٢- تم إنشاء جروب علي الفيس بوك خاص بالكورس حتي يتثني لمن لديه أي سؤال او لديه صعوبة في فهم شئ ما من طرح أسالته وسيتم الإجابه عليها من قبل المختصين إن شاء الله. رابط جروب الفيس بوك:
http://ift.tt/2yUwORw
٣- الكورس مجاني وسيظل مجاني حتي إنتهائه إن شاء الله ولا نسألكم سوي الدعاء لي ولوالدي بالرحمه والمغفرة
٤- الدروس التي تم الإنتهاء منها كانت شروحات للاساسيات التي يحتاجها أي مختبر إختراق, والدروس القادمة ان شاء الله بدأ من الأحد القادم ستكون مختصة بالويب Web فقط
٥- تحتاج أن تقرأ البوست التالي قبل أن تبدأ في الكورس لأنه يحتوي علي إجابات لإسئله كثيرة يتم سؤالها بشكل مستمر:
http://ift.tt/2ykOqJA
٦- تم تجهيز lab للمتدربين في الكورس حتي يتمكنوا من التطبيق العملي وحل مسابقات تمكنهم من تطوير مهاراتهم في مجال اختبار الإختراق. ال Lab الأول واللذي يخص الدروس التي تم الإنتهاء منها يمكنكم الوصول إليه من خلال الرابط التالي ويمكنكم أيضا طرح أسالتكم في نفس الرابط. هل يمكنكم حله وتخطيه؟
http://ift.tt/2ykOqJA
٧- ال Lab الخاص بثغرات الويب سيتم طرحه فور البدأ بشرح ثغرات ال SQL Injection ان شاء الله
وفي الأخير أود أن أشكر كل من الأشخاص التالية أسماءهم لمساهمتهم في أن يخرج الكورس بهذا الشكل ومساهمتهم في الإجابة علي أسالة المتدربين بشكل مستمر:
محمود علام
محمد عبدالعاطي
أحمد أبوالعلا
اسامه النجار
راجين من الله عز وجل أن نكون عند حسن ظنكم بنا.
السلام عليكم ورحمة الله وبركاته أحبتي في الله.
يسر مدونة مجتمع الحماية العربي أن تعلن عن إطلاق كورس إختبار إختراق تطبيقات الويب باللغة العربية
Web Applications Penetration Testing Course
واللذي يشرح بالتفصيل ثغرات المواقع مع أمثلة عمليه علي شركات عالمية عن كيفية حدوث الثغرات وكيف يتم إستغلالها.
تم التركيز في الكورس علي وضع أساسيات مهمه جدا لابد وأن يفهمها كل مختبر إختراق قبل البدأ في إكتشاف وإستغلال الثغرات.
Introduction Day:
1. Course Requirements:
Installing necessary browser plugins (Wappalyzer, FlagFox, FoxyProxy)
Virtualbox + Ubuntu
Java & Burp Suite
First session (Warming Up):
Deep dive into data leaks (Haveibeenpwned.com & Shodan.io)
Part 1:
1. Linux Basics:
Introduction to Linux Structure & files permissions.
Packages & installation process
Command line examples
(man, apt-get, apt-cache, find, grep, cut, sort, curl, wget, >, >>, |, ;, head, tail, nano, touch, &, ps, df, top)
Installing LAMP stack.
2. Introduction Topics:
1- OSI Model in a Nutshell (Life of a Packet)
2- Wireshark & NetworkMiner
3- TCP/UDP/HTTP/HTTPS Protocols
3- Nmap basics
4- HTTP Methods & HTTP Response Types
5- HTTP Headers
6- Web Authentication Methods, Cookies, Sessions
7- Encryption, Encoding, Hashing
10- DNS Basics, A, MX, CNAME Records
11- PTR Records (Reverse DNS) & PassiveDNS (Yahoo or Facebook Example)
12- What happens when I open http://ift.tt/g8FRpY in my browser?
13- Basic PHP examples (GET vs POST)
14. CORS, CSP & SOP
3. BurpSuite:
1- What is Burp and why we need it?
2- A Jurney into Burp Tabs
3- Burp configuration
4- Get your hands dirty using burp
Part 2:
1. Easy Web Applications Attacks:
1- HTTP Verb Tampering Attack
2- Open Redirection
3- Host Header Attacks
4- Session Fixation
5- Text Injection & HTML Injection
6- ClickJacking
5- Insecure Direct Object Reference (IDOR)
6- Hanging Fruits (Forgotten backup files and status pages)
2. Meduim Web Applications Vulnerabilities:
1. Cross Site Scripting (XSS)
1- Basics of XSS
2- Reflected, Stored & DOM based XSS
3- XSS Payloads
3- Google XSS challenges step by step
4- Your task is to write and test XSS Cookie stealer
2. Cross Site Request Forgery (CSRF)
1- CSRF Basics
2- How to find a CSRF Vulnerability
3- CSRF Exploitation
3. Subdomain Takeover
Part 3:
1. Advanced Web Applications Vulnerabilities:
1. SQL Injection
1- SQL Basics
2- SQL Injection Basics & SQL Types (Union Based, Boolean Based, Time Based)
3- Manual Union Based SQL Injection Exploitation
4- Manual Boolean Based SQL Injection Exploitation
5- Manual Time Based SQL Injection Exploitation
6- A Walk through SQLMAP
7- Exploiting SQL Injection Vulnerabilities with SQLMAP
2. Server Side Request Forgery (SSRF)
1- SSRF Basics
2- How to find SSRF Vulnerabilities
3- SSRF Exploitation Demo
4- SSRF vs XSPF
3. Remote Command Execution
1- RCE Basics
2- How to find RCE Bugs in the Source Code (Example on PHP)
3- RCE Exploitation Demo (ShellShock or else from my findings)
4. Remote Code Execution
1- RCE Basics
2- How to find RCE Bugs in the Source Code
3- RCE Exploitation Demo on Yahoo
5. Local/Remote File Inclusion
6. XXE (External Entity Injection)
7. CSTI & SSTI (Client/Server Side Template Injection)
7. Object Injection Vulnerabilities
8. File Upload Attacks
1- Bypassing file uploads security restrictions (Multiple methods)
2- Demo on Twitter.com
Part 4:
8. Real Life Demo
1. Enumerating and scanning 200.000+ Yahoo Hostname!
9. Conclusion & References
بفضل من الله عز وجل إنتهينا في الوقت الحالي من تسجيل 23 درس وتم طرحهم جميعا علي Playlist واحده يتم تحديثها بشكل اسبوعي بدروس جديدة من الكورس. يمكنكم مشاهدة الدروس من خلال الرابط التالي:
١- دروس الكورس يتم تحديثها وطرح دروس جديدة يوم الأحد من كل اسبوع, لذا ننصحك بالإشتراك في القناة حتي يصلك الجديد أول بأول
٢- تم إنشاء جروب علي الفيس بوك خاص بالكورس حتي يتثني لمن لديه أي سؤال او لديه صعوبة في فهم شئ ما من طرح أسالته وسيتم الإجابه عليها من قبل المختصين إن شاء الله. رابط جروب الفيس بوك:
http://ift.tt/2yUwORw
٣- الكورس مجاني وسيظل مجاني حتي إنتهائه إن شاء الله ولا نسألكم سوي الدعاء لي ولوالدي بالرحمه والمغفرة
٤- الدروس التي تم الإنتهاء منها كانت شروحات للاساسيات التي يحتاجها أي مختبر إختراق, والدروس القادمة ان شاء الله بدأ من الأحد القادم ستكون مختصة بالويب Web فقط
٥- تحتاج أن تقرأ البوست التالي قبل أن تبدأ في الكورس لأنه يحتوي علي إجابات لإسئله كثيرة يتم سؤالها بشكل مستمر:
http://ift.tt/2ykOqJA
٦- تم تجهيز lab للمتدربين في الكورس حتي يتمكنوا من التطبيق العملي وحل مسابقات تمكنهم من تطوير مهاراتهم في مجال اختبار الإختراق. ال Lab الأول واللذي يخص الدروس التي تم الإنتهاء منها يمكنكم الوصول إليه من خلال الرابط التالي ويمكنكم أيضا طرح أسالتكم في نفس الرابط. هل يمكنكم حله وتخطيه؟
http://ift.tt/2ykOqJA
٧- ال Lab الخاص بثغرات الويب سيتم طرحه فور البدأ بشرح ثغرات ال SQL Injection ان شاء الله
وفي الأخير أود أن أشكر كل من الأشخاص التالية أسماءهم لمساهمتهم في أن يخرج الكورس بهذا الشكل ومساهمتهم في الإجابة علي أسالة المتدربين بشكل مستمر:
محمود علام
محمد عبدالعاطي
أحمد أبوالعلا
اسامه النجار
راجين من الله عز وجل أن نكون عند حسن ظنكم بنا.
