نگاره‌هایی پیرامون امنیت، شبکه و رمزنگاری

کلاس آموزشی OWASP TOP 10 and more

با توجه به درخواست‌های متعدد از سوی برخی از کاربران، تصمیم گرفتم یه دوره کلاس آموزشی با محوریت تسلط به آسیب‌پذیری‌های روز دنیا رو تدوین کنم. این کلاس پیشنیاز یک کلاس حرفه‌ای‌تر تبدیل شدن به هک باگ‌هانتر هست. البته نظر خود من اینه که بعد از این دوره شرکت‌کننده‌ها اگه کمی زمان اضافه‌تر بذارن باید بتونن توی برنامه‌های بانتی ایرانی باگ پیدا کنن، چون چندین آسیب‌پذیری که روشون قرار بحث بشه و عملی کار کنیم، از آسیب‌پذیری‌های واقعی بودن که توی برنامه‌های بانتی ایرانی پیدا شده (بیشتر آسیب‌پذیری‌ها از مثال‌های خارجی هستند). فکر می‌کنم کل توضیحات رو توی بروشور دوره دادم، میتونید از اینجا دریافت کنین:

توضیحاتی پیرامون کلاس و پاسخ به یه سری سوالات:

ظرفیت کلاس پر شده. برای ثبت‌نام میتونید از این لینک اقدام کنید، بعد از ثبت‌نام به من در تگلرام پیغام بدید تا به گروه اضافتون کنم.

آخرین به‌روزرسانی: ۱۳۹۹/۱۲/۲۲ ساعت ۱۴:۰۸

نظرات شرکت‌کننده‌ها

کلاس اول تموم شد، نظرات دوستان رو می‌ذارم با راه‌های ارتباطی باشون، می‌تنید قبل از شرکت توی دوره بعدی باشون مشورت کنید:

پیمان زینتی:

تو چندین خط میخوام نظرمو راجع به دوره OWASP-Top10 بگم و اینکه این دیدگاهم با توجه به اینه که یه کمی داخل این حوزه کار کرده بودم و صفرِ صفر نبودم. ساز و کار هر جلسه اینطوری بود که از روی پاورپوینت اختصاصی کلاس , مطالب و کانسپت ها و usecase های مختلف گفته میشد و در نهایت lab اختصاصی دوره با چلنج مربوط به اون سرفصل داده میشد. چیزی که خیلی دوست داشتم این بود که کانسپت اولیه رو آقا یاشار میگفت و برای حل چلنج ها دانشجو رو تشنه جواب میزاشت 🙂 و هر کس مجبور بود که خودش دست به سرچ و تحقیق بشه. با توجه به اینکه سطح دانشجوها متفاوته , لَب ها با لول های مختلفی از سخت تا اسون بود. اینطوری دانشجو به هیچ عنوان خسته نمیشد از اینکه چرا سطح خیلی بالا و یا خیلی پایینه. هر هفتم چلنج برای تمرین داشتیم و اینم خیلی خوب بود. به جرعت میشه گفت جز بهترین دوره های موجود برای OWASP-TOP10 حتی تو سطح جهانی به حساب میاد. این مورد رو از غنی بودن یک سری مطالب و چلنج ها و واقعی بودن مثال های زده شده دارم میگم. حتی تو یک سری از چلنج ها قشنگ ذهن درگیر میشد و حلاشون خیلی قشنگ بود. ( تو کمتر کورسی من دیدم که مطالب authentication و بررسی ساز و کار sop و … گفته بشه ) جدا از اینکه مطالب اضافه تر از OWASP هم داخل سیلابس بود حتی بعضی وقتام TIP هایی برای هانتینگ گفته میشد که کلاسو جذاب تر میکرد. فضای کلاسم طوری بود که همه بچه ها بهم کمک میکردن و در کل تجربه خیلی خوبی بود.

Scar3cr0vv [at] protonmail [.] ch
twitter: Scar3cr0vv_

حسن:

نظر: به نظر من کلاس خیلی خوبی بودش بیشتر برای من از این نظر اهمیت داشت که آقای شاهین زاده باعث میشد آدم بیشتر تلاش بکنه و مثال هایی که میزدن خیلی واقعی بودن یعنی من خودم بیشتر دنبال این بودم که بتونم از تجربیات آقای شاهین زاده استفاده بکنم که خیلی خوب بود و دید و تجربه ایی که به من داد این کلاس را نمی تونستم توی کلاس های بیرون پیدا کنم و دوم اینکه آقای شاهین چون خودشون bug hunter خیلی خوبی هستند بر همین اساس مثال واقعی میزدن بروز بودن مطالب خیلی مهم بود جایی که توی کلاس بیرون نمیشه پیدا کرد و اینکه همه چیز خیلی خوب بود مرسی از استاد شاهین زاده که این فرصت را در اختیار من گذاشتند

secpoint10 [at] outlook [dot] com

سهند امینی:

اولش فکرشم نمیکردم که یک دوره بتونه در این حد مفید باشه برام. هم ، زمان بین جلسات خیلی مناسب بود برای تمرین کردن و حل کردن چالش هایی که در اختیارمون قرار داشت، و هم سطح محتوای کلاس خیلی مناسب بود. (چالش ها هم چالش برانگیز بود!!!) در ضمن این کلاس باعث شد کلی دوست حرفه ای و باحال پیدا کنم. (:

khodesahand [at] gmail [dot] com
Twitter: sahand_rh

محمدرضا:

تشکر از شما کلاس از نظر من عالی و واقعا نقطه قوت این کلاس بیان خوب مفاهیم از طرف شما و چالش های در نظر گرفته شده بود. فقط اینکه جلسه آخر مخصوصا برای xxe و api security چالش های بیشتری در نظر گرفته بشه بهتر خواهد بود. منتظر کلاس بعدی شما bug hunting قطعا هستم

radius2002 [at] chmail [dot] ir

فرزانه خیرخواه

دوره جامع و کاملی بود چون اکثر بخش کلاس عملی بود بسیار کاربردی و مفهمومی با مباحث آشنا شدیم ما منتظر کلاس بعدی هستیم 😀

Twitter: feriinoosh

امیر مطهری:

و مفیدی بود ولی نیست به زمان و هزینه کلاس، مطالب ارائه شده کم بود، و جا داشت سرفصل های بیشتری رو پوشش بده. اگر میشد قیمت دوره رو پایین تر بیارید که افرادی که محدودیت مالی دارن بتونن شرکت خیلی خیلی بهتر میشه و به نظرم این دوره(بهتر بود سرفصل های بیشتری داشته باشه) بر هر توسعه دهنده وبی واجب هست که کمی دیدشون نسبت به امنیت باز بشه، و برنامه های امن تری بنویسن (که وضعیت مملکتمون این نباشه، به قول خودتون دیتا ها کف زمین ریخته 😄) درضمن فضای کلاس رو هم خیلی دوست داشتم، اصلا حال هوای استاد شاگردی نبود

amir [dot] motahari [at] outlook [dot] com
Twitter: a_mthri

واهاگ گراگوسیان:

در ارتباط با دوره ای که با یاشار داشتیم مطالب که منتقل میشه ویژگی که داره این هست فقط محتوای خالی نیست همراه با تجربه و دانش غیر فنی است و اگر مطلبی بلد باشه سوال بپرسی میگه و توضیح میده و سعی هدف اصلیش یادگیری و انتقال دانش هست حتی اگر خارج از کلاس باشه تا حد امکان. این دوره برای تمام افراد چه در تیم های دفاعی و چه تیم های حمله ای من پیشنهاد می کنم چون دید امنیتی منتقل میشه و نه توضیحات خام (منظورم BlueTeam و RedTeam هست) فقط تنها نکته‌ای که فکر می‌کنم اگر تغییر کنه خوبه ساعت کلاس هست که از ۱۰ صبح به ساعت ۱۱ صبح تغییر کنه و تایم کلاس از ۶ ساعت به ۵ ساعت تغییر کنه چون خودم به شخصه یک ساعت آخر کلاس رو هنگ کرده بودن به دلیل این که باید با تمرکز ۱۰۰٪ در کلاس حضور داشته باشی و همه چیز به هم مرتبط هست. کلام آخر کلاس خیلی خوبی بود و بچه ها هم اگر مشکلی داشته باشی کمک می‌کنن و آقا احمد هم هر سوالی بپرسی چه مرتبط با کلاس و چه خارج از کلاس تا جایی که اطلاعات داشته باشن کمک و راهنمایی می‌کنن دمت گرم یاشار جان (منتظر دوره بعدی هستیم)

Vahaggn [at] gmail [dot] com
Twitter: VGragosian

عماد روشن:

این نظر بر اساس تجربه شخصی و در مقایسه با بزرگترین Institute های خارجیه. – عناوین گفته شده بسیار فراتر از دوره های مشابه خارجیه و سطح موارد گفته شده از Basic تا Intermediate رو پوشش میده. – قسمت های Conceptual به بهترین شکل ممکن توضیح داده میشه. – موارد عملی و Lab ها در طول دوره قابلیت تست کامل هر آسیب پذیری را به دانشجو میده و باعث میشه مفهوم گفته شده در کلاس صرفا جنبه تئوری نداشته باشه. – بر خلاف خیلی از دوره های که Lab ها فقط جنبه دید اولیه دارن، موارد عملی این کلاس از سطح بالایی برخوردار هستند و جزو سوال های بهترین CTF های دنیا هستند. این کلاس رو به علاقه مندان امنیت، هانتر ها و دوستانی که دیدی نسبت به اینکه از کجا باید شروع کنن ندارن به شدت پیشنهاد میکنم.

emad [dot] roshan [at] gmail [dot] com

ناشناس:

سلام من خیلی دلم میخواست شرکت کنم توی این دوره که خب خوشبختانه موفق شدم. نظرم اینه که عالی بود کلاس، البته یه جاهایی هم دیگه خیلی پیشرفته میشد و کف کلاس رو در نظر نمیگرفتید. اما پاسخگویی و اخلاقتون خیلی خوب بود. امیدوارم که دوره بانتی هم برگزار بشه و بتونم شرکت کنم. پیشنهادی ندارم بجز اینکه اول به ماها برای دوره بانتی اطلاع بدید که کلاس پر نشه. ولی در کل همه چی خوب بود. ممنون

ایشون نخواست نامش اورده بشه

آقای S.A.R:

سلام آقا یاشار نظرات : کلاس خیلی خوب بود حجم کم و ارزش افزوده بالا 🙂 و نحوه توضیح هم عالی پیشنهاد : بهتره که کل مباحث آسیب پذیری ها و روشهای نفوذ به وب سایت ها رو بیان کنین تو کلاس و بعد از هر مبحث یک تارگت لایو (برای اون مبحث) رو بررسی کنین اکثر مباحث سمت آسیپ پذیری های PHP بود و برای سایت هایی با تکنولوژی ASP , .NET مباحث خیلی کم بود

geek.pentester [at] gmail [dot] com

بهنام:

سلام یاشارجان من توی امنیت و تست نفوذ دو نقطه عطف در زندگیم داشتم اولیش کلاس pwk و sec542 استاد راستی دوست بود، و دومیش کلاس شما بود. یعنی زندگیم تبدیل میشه به قبل و بعد از راستی دوست و قبل و بعد از یاشار شاهین‌زاده! اما یه مقدار دقیقتر در مورد تجربه خودم بگم من با کلاسهای استاد راستی دوست شاید 20 درصد وب رو یاد گرفتم، البته توی 4 روز و بعد از تمرین کردن‌ها، این رو بگم که واقعا صفر بودم قبلش و این رو هم بگم که کانسپت‌هارو با اینکه صفر بودم و دستم پر نبود خیلی خوب و عمیق یاد گرفتم سر کلاس ایشون. اما کلاس شما با توجه به مدت زمان طولانی‌اش، اون یک ماه آمادگی اولش و با توجه به حضور فعال شما، و تجربه عملی بالایی که داشتید و حضور آقا احمد و جو صمیمی گروهی اش و اینکه هفته ای یک جلسه بود و در طول هفته چالش داشتیم(چالش هایی که واقعا رد کردنشون احتیاج به زحمت زیاد داشت، مخصوصا برای کسی مثل من که کم‌تجربه بودم. این رو هم بگم که بعضی از این چالش‌ها واقعا با ارزش بودند، مثل اکانت تیک آور، یا وورد پرس یا همین چالش جدید که گذاشتید و ازتون خواهش دارم بالا نگه‌اش دارید یه مدت چون حتما میخوام خودم حلش کنم) از اون 20 درصد احساس میکنم که تو این دو ماه به بیش از 50 و شاید 60 رسیدم! یعنی کلاس شما واقعا من رو از اون درجه مبتدی و شاید حتی متوسط هم بالاتر برد. من واقعا از ته قلبم راضی بودم و حسابی با کلاس شما ساخته شدم و قشنگ احساس میکنم چندین لول بالا اومدم، کلاس شما یک مسیر دوماهه بود که از برکتش خیلی چیزهای دیگه هم به ما اضافه کرد، مثلا من الان راحت با پایتون کد میزنم چون مجبور بودم یادش بگیرم و دوتا دوره مربوط به پایتون هم گذروندم تو این مدت، دیگه بیشتر از این توضیح نمیدم این بخش رو، خلاصه اینکه کلاس باگ هانتینگ رو هم اگر تشکیل بدید با تمام وجودم شرکت میکنم توش. اما یک مسئله بود که از جلسه اول کلاستون به نظرم اومد و بعد از اون هم با گذشت هر جلسه باز خودشو به من نشون میداد، امیدوارم از این نظر صادقانه من ناراحت نشید. اما فکر میکنم برای دوستانی که واقعا اول راه بودند و صفر بودند کلاس شما شاید اونقدرها مناسب نباشه، یعنی به نظر من اگر کسی در لول صفر هستش بهتره در کلاس شما شرکت نکنه. برای من اینجوری بود که تو کلاس راستی دوست یه سری چیزها رو به صورت عمیق درک کردم و بعد توی کلاس شما تجربه کسب کردم و پیشرفت کردم. ولی ادراک رو داشتم از اینکه داستان چی هست و من دارم چیکار میکنم. مثلا در مورد Sqlinjection یا xss dom یا همین xxe که جلسه آخر تدریس کردید و من یک درکی داشتم از قبل و حالا دارم عملا باهاشون دست و پنجه نرم میکنم و خوب طبیعتا بهتر میفهممشون. (البته خالی از لطفه اگر نگم خیلی چیزها رو هم مستقیم از کلاس خودتون یاد گرفتم، مثلا بخش آتنتیکیشن که خیلی کاممممل بیان شد و قشنگ معلوم بود که ماحصل تجربه چندین و چند ساله شماست و جای دیگه گیر نمیاد، یا مثلا مبحث SOP و CORS و خیلی چیزهای دیگه.) به نظر من کلاس شما سرنوشت کسانی رو که با مباحث آشنایی دارند رو تغییر میده ولی به درد دوستانی که صفر هستند اصلا نمیخوره، حداقل من خودم رو وقتی صفر بودم در نظر میگیرم که اگر سر کلاس شما می‌نشستم شاید به این راه کشیده نمی‌شدم، در هر صورت قسمت من این بود که تو یه سطحی به کلاس شما بیام که واقعا حداکثر استفاده رو ببرم و از صمیم قلب از شما و زحماتتون ممنونم. نظرم رو هم صادقانه بیان کردم فکر میکنم اگر کانسپت و مفهوم مباحث رو یه مقدار بیشتر و عمیقتر کار کنید برای دوستانی که تازه میخوان وارد داستان بشن هم بتونید کلاس پرباری داشته باشید. و خوب کسانی که آشنایی هم دارند با مباحث بیشتر آشنا میشند و حال میکنند. در آخر باید بگم که من وظیفه خودم دونستم که بابت قدرشناسی از زحمات شما نظرم رو بی پرده و بدون رودروایسی به شما بگم تا در کلاسهای بعدی شما کمک‌کننده بوده باشم. چون به نظرم تعریف و تمجید خالی هیچ وقت موجب پیشرفت نمیشه. آدم باید همه جوانب رو منتقل کنه. یک بار دیگه هم از شما تشکر میکنم بابت این بستری که فراهم کردید و این رو هم بگم که میدونم مسیر زندگی کاری و حرفه‌ای آیندم توسط کلاس شما تغییر کرد، من اینو میدونم و بابتش همیشه شما و کلاستون رو یادم هست و خودتون و کلاس‌های آینده‌تون رو هم دنبال میکنم، یعنی تا ته‌اش هستم دیگه 🙂 مخلص شما

behnam [dot] ahmadi91 [at] gmail [dot] com
Twitter: behnamahmadi91

آقای Alex:

دوره، دوره خوبی بود از لحاظ علمی نمره کامل و میگیره و هیچ کمبود نداشت از لحاظ سبک تدریس و خشک نبودن و خسته نشدن هم یاشار خوب کار کرد و قابل قبول بود به نظرم کمی پروژه محور تر باشه میتونه جذاب تر بشه و انگیزه بالاتر میره برای فعالیت در کل اگر نمره بخوام بدم به کل دوره ۸/۵ از ۱۰ میدم باتشکر ویژه امیدوارم بتونیم در دوره بانتی هم کنار دوستان باشیم

ایشون نخواست نامش اورده بشه

فرهان:

خیلی وقت بود منتظر همچین دوره ای بودم اونم از یاشار (لیترالی) بهترین دوره بود، اینجوری بود که فقط دوس داشتم جمعه زودتر برسه بشینیم سر کلاس! (برعکس بقیه کلاسا) امیدوارم بتونم بیشتر یاد بگیرمو و کنارت باهم شکار کنیم

Twitter: _farhansa

فرهاد بیگی:

منون من خیلی از مطالب رو نمیدونستم که متوجه شدم الان و اینکه اعتماد به نفسم بالاتر رفته قبل ازاین دوره تو خودم نمیدیدم که بخوام وارد هکینگ بشم اما وقتی کلاس ها شروع شد و شما باهام صحبت کردید قوت قلب گرفتم. مطالب دوره رو کاملا درک کردم و فیلم های دوره دارم دوباره بازبینی میکنم مطالب جدیدتر میاد دستم واقعا دوره کاربردی و عملی بود با وجود فیلم ها و گروه فکر نکنم جای یاد نگرفتن باقی بمونه فقط یک مورد به نظر من قابل گفتن بود این هست که با بچه هایی که سطحشون پایین تره ارتباط بیشتری داشته باشید بهتره ….اعتماد به نفسشون بیشترمیشه حین یادگیری …….. باتشکر

mohamadbeigif [at] yahoo [dot] com

رضا:

از همه نظر کیفیت کلاس فوق العاده بود و بدون هیچ اغراقی از نظر من حتی کوچکترین نقص و ایرادی نداشت برای شخص من کلاس خیلی مفید بود و بعلاوه اینکه بچه های کلاس هم عالی بودند در کنار سواد فوق العاده ای که شما دارید اخلاق و شخصیت و برخورد شما هم خیلی عالی و خاکی(: بود که خیلی مورد پسند من بود و یک نوع انگیزه برای من بود.

Email: i0day [at] yahoo [dot] com
Twitter: i0day

امیر شایان

امیر شایان بنظرم افراد تو هر سطحی که هستن این دوره رو شرکت کنن، اینکه خود آقا یاشار یه هانتر موفقه و همه روش هارو خیلی خوب توضیح میده بهترین دلیل برای متمایز بودن این دوره از بقیه دوره ها ست. من که اولین باگمو زدم و خیلی خیلی خیلیییییی خوشحالم ممنون یاشار جان

Twitter: access315

بهرام رحمانی

دوره owasp top 10 با یاشار دوره خیلی خوبی بود من تونستم تو این دوره درک عمیق تری از موضوعات مثل cors،sop,csrf,ssrf…. داشته باشم، یکی دیگه از نقاط قوت این دوره این بود که یاشار بانتی های واقعی که خودش زده بود رو به طور کامل از صفر تا صدش رو برای ما اجرا کرد که واقعا برای من یه کمک بزرگی بود تا نحوه پیدا کردن باگ تو دنیای واقعی بیشتر آشنا بشم. همچنین یاشار جان یه سری پیکار های خیلی خوب برای موضوعات مختلف درست کرده بود که به ما وقت میداد بین جلسات کلاس روشون کار کنیم و تو جلسه بعدی خود یاشار میومد در موردشون توضیح میداد خلاصه اگه بخوام بگم، بزرگترین دستاورد من از این دوره درک عمیق تری از موضوعات owasp top 10 بود و اگه بخوام به کسی یه دوره تو حوزه امنیت توصیه کنم حتما حتما حتما دوره owasp top10 یاشار خواهد بود چون هم مفهومیه هم عملیه و هم باگ های واقعی که خود یاشار زد

bahramrahmani1369 [at] gmail [dot] com

محمد بخشی

سلام آقا یاشار تولدتون مبارک باشه. دوره خوبی بود من به شخصه راضی بودم، برخوردتون با کلاس دوستانه بود تا استاد شاگردی. مطالب رو با حوصله توضیح میدادین. فقط یک توصیه که می توانم بکنم اینه که به گروه بعدی توصیه اکید کنید که مطالب پیش نیاز بسیار مهم هستند و باید اونارو خونده باشن تا بتونن از مطالب جلسات استفاده کنند.

امیر حسین

کلاس خیلی خوب بود چلنج ها و آموزش های جالبی داشت، سطح تدریس عالی بود فقط در بعضی مباحث بهتره قبلا کار کرده باشید و با واژه های فنی آشنا باشید تا راحت تر بتونید یاد بگیرید

AmirHoo [at] protonmail [dot] com

حسین:

سلام و عرض ادب به نظرم کلاس خوبی بود. اما برای بهره مندی بیشتر از سواد آقا یاشار بهتر بود اعلام می شد که اون Road map که در سایت قرار داره رو افراد شرکت کننده در کلاس، تا سطح ۳ پیش برن تا بتونن از کلاس بهره بیشتری داشته باشند و آقا یاشار هم بیشتر بره سراغ تکنیک ها و … . اما در کل من که استفاده کردم و خوشحال و راضی هستم از این که در این دوره شرکت کردم.

hospi1980 [at] gmail [dot] com

طیطه اجتهادی:

سلام..کلاس خیلی خوبی بود و اینکه مفاهیم را از استادی یاد گرفتم که در این زمینه تجربه  هم دارند.متشکرم

Twitter: TeitehEjt

آخرین به‌روزرسانی نظرات: ۱۳۹۹/۱۲/۱۵ ساعت ۲۳

کلاس آموزشی Hunting Vulnerabilities

این کلاس در در آینده میخوام برگزار کنم، افرادی که کلاس قبلی رو اومده باشن راحت می‌تونن توی این کلاس شرکت کنن، یعنی پیشنیاز شرکت در این کلاس تسلط کامل به آسیب‌پذیری‌ها هست که توی کلاس قبلی برآورده میشه. چیزی که توی ذهنم هست برای این دوره ۲ ماهه، تدریس به مدت ۱ ماه، سپس کار عملی روی اهداف بانتی واقعی به مدت یک ۱ ماه هست. شرکت‌کننده‌ها بعد از یادگیری مطالب تئوری، به دنبال کشف آسیب‌پذیری می‌گردن و درصورت کشف آسیب‌پذیری، یک درصد مشخص بابت کلاس برداشته میشه و پول بانتی، به کاشف داده میشه. اینطوری شرکت‌کننده‌ها میتونن خودشون رو محک بزنن و این امر از هر مدرکی براشون مفیدتر خواهد بود.

در مورد زمان و نحوه برگزاری این کلاس همینجا اعلام می‌کنم.

آخرین به‌روزرسانی: ۱۳۹۹/۹/۲۸ ساعت ۱۷