توی این صفحه یه سری اطلاعات راجع به کلاسم ارائه میدم.

برنامه کلاسی سال ۱۴۰۱

برنامه کلاسی امسال رو اینطوری چیدم، بصورت بصری می‌تونید اینجا ببینید وتوضیحات رو بعد شکل گذاشتم:

طبق خط زمانی بالا، ۶ تیر ثبت‌نام کلاس OWASP انجام میشه، تا ۱۰ تیر ثبت‌نام نهایی میشه و کلاس شروع میشه. ۳ مهر ثبت‌نام کلاس Hunt شروع میشه (قطعا کلاس OWASP تا اون تاریخ تموم میشه). ثبت‌نام با اولویت برای بچه‌های کلاس OWASP و سپس برای عموم باز می‌شه (در صورتی که نفرات از یه حدی بیشتر بشه ۲ کلاس تشکیل میشه،‌ در صورتی که نفرات خیلی بیشتر بشه ثبت‌نام عمومی برداشته میشه و فقط برای بچه‌های کلاس OWASP برگزار میشه، یعنی ۳ کلاس Hunt تشکیل نمیشه چون اگه بخوام بیشتر ۲ کلاس همزمان داشته باشم ممکنه کیفیت بیاد پایین). حالا داستان اول اسفند چیه؟ ممکنه ثبت‌نام کلاس بعدی OWASP باشه، ممکن هم هست کلاس رو نذارم و ثبت‌نام بره برای سال بعد، بستگی به مشغله اون موقع داره. یه سری سوال و جواب:

سوال اول) بدون اینکه OWASP شرکت کنم می‌تونم بیام هانت؟

اگه جا بمونه بله، دوره قبلی فیلم‌های OWASP رو دادم به بچه‌ها ولی توصیه نمی‌کنم این کارو کنین، چون خیلی میرید توی فشار و معمولا از کلاس عقب می‌مونین.

سوال دوم) پیشنیاز این دوره OWASP چیه؟

به‌طور کامل توی کلیپ معرفی دوره پیشنیازهارو گفتم،‌ همچنین می‌تونین از توی سیلابس پیشنیازها رو ببینید (پیشنهاد می‌کنم کلیپ رو ببینید)

سوال سوم) قسمت کلاس هانت چقدر هست؟

قطعا زیر ۳۰ درصد افزایش نخواهد داشت (قیمت قبلی ۶/۶۶۰/۰۰۰ بود)، قیمت دقیق رو سعی می‌کنم یک ماه قبل از ثبت‌نام اعلام کنم که بتونین برنامه‌ریزی کنین.

سوال چهارم) کلاس‌ها آنلاینه؟ فیلماش رو میدید؟

بله تمام کلاس‌ها آنلاین هست، اینطوری برگزار میشه که فیلم کلاس اوایل هفته داده میشه، لایو و رفع اشکال آخر هفته تشکیل میشه، ولی همه جلسات و لایوها ضبط میشه و با کیفیت خوب داده میشه.

سوال پنجم) پیشنهازها رو از کجا بخونم؟

اگه توی کلاس بیاین که منبع می‌دم برای خوندن (فارسی و انگلیسی)، خودمم یه جلسه درس میدم هر پیشنیاز رو و رفع اشکال هم که میریم، اگه میخواین زودتر شروع کنین، برای جاوااسکریپت و شبکه می‌تونید از این ویدئو‌های یوتیوبم کمک بگیرید:

https://www.youtube.com/watch?v=GUSUS2oEosw
https://www.youtube.com/watch?v=m1jlkO6gQ_0

کل کلاس‌هایی که برگزار می‌کنم

سلام، تو این قسمت کلاس‌هایی که دارم رو معرفی می‌کنم. من تا امروز سه تا دوره رو چند باری برگزار کردم:

دوره آموزشی OWASP TOP10 and More – چهار بار برگزار شده + هم اکنون در حال برگزاری هست
دوره آموزشی Bug Hunting – یک بار برگزار شده
ورکشاب Single Sign-On – یکب بار برگزار شده

اطلاع‌رسانی ثبت‌نام دوره‌ها از طریق شبکه‌های اجتماعی انجام میشه. می‌تونید منو توی اینستاگرام، توئیتر و تلگرام دنبال کنین. دوستان زمان برگزاری دوره بعدی برای خود منم مشخص نیست، پس وقتی تصمیم به برگزاری بگیرم از طریق شبکه‌های اجتماعی اعلام می‌کنم. اینجا سعی می‌کنم به یه سری سوالات پاسخ بدم:

سوالات پر تکرار

سوال اول) میتونم در مورد کلاس هایی که برگزار میکنید بپرسم؟

کلاس‌هایی که برگزار کردم رو بالا نوشتم. جز این ۳ کلاس فعلا کلاسی ندارم، اگه کلاس جدیدی بخوام بذارم اعلام می‌کنم.

سوال دوم) اینکه پیش‌نیازی براشون وجود داره؟

پیشنیاز برای هر دوره متفاوته، برای مثال پیشنیاز دوره OWASP دانش غیر امنیتی هست (مثل شبکه، جاوااسکریپت و پروتکل HTTP)،‌ در صورتی که پیشنیاز دوره Bug Hunting دقیقا تسلط کافی به OWASPعه که کلاسش رو خودم برگزار می‌کنم.

سوال سوم) دوره پشت سر هم هستش یا قابل انتخاب و متفاوت؟

من هیچ محدودیتی اعمال نمی‌کنم، فقط پیشنیازها رو میگم، خیلی از دوستانی که توی Bug Hunting شرکت کردن OWASP رو نیومده بودن و یه سریاشون هم بنظرم موفق هستن.

سوال چهارم) آیا فیلم دوره‌ها قابل تهیه هستن؟

خیر، اصل کلاس اون پیکارهای امنیتی و تعامل با من و بقیه شاگردا هست. وگرنه فیلم‌های خیلی بهتر بصورت رایگان یا پولی توی اینترنت هست. منم هدفم اینه که بیاین سر کلاس و فعال باشید،‌ بتونین عملی کار کنین نه اینکه ۴ تا فیلم رو ببینید.

ورکشاپ SSO

اغلب پنتسترها و حتی هانترها توی کشف آسیب‌پذیری‌های Authentication دارن. دلیل این ضعف هم عدم وجود محیط‌های شبیه‌سازی شده برای کشف و اکسپلویت سناریو‌های مختلف است. برای همین تصمیم گرفتم یه ورکشاپ ۴ ساعتی با محوریت SSO راه‌اندازی کنم. روال ورکشاپ اینطوریه که بعد از ثبت‌نام در گروه عوض می‌شید، ۱ هفته وقت دارید حل کنید، در این بین مطالبی که نیازه یاد بگیرید برای مطالعه در اختیارتون قرار می‌گیره و راهنمایی خواهید شد. بعد از یک هفته، در یک لایو ۴ ساعتی، مطالب تدریس میشه و پیکار حل میشه. پیکار دارای ۴ پرچم است که تصاحب هر ۳ به منزله حل است. مباحثی که در ورکشاپ مطرح میشه:

SSO log-in flow explanation
Recon process of an application
Application mapping
Mass assignment vulnerability
Cross Site Scripting vulnerability
Exploit the SSO flaw

توضیحات در رابطه با ورکشاپ:

ورکشاپ برگزار شد، فعلا برای برگزاری این ورکشاب برنامه خاصی وجود ندارد.

آخرین به‌روزرسانی: ۱۴۰۰/۱۱/۱۷ ساعت ۰۹:۲۸

کلاس آموزشی OWASP TOP 10 and more

با توجه به درخواست‌های متعدد از سوی برخی از کاربران، تصمیم گرفتم یه دوره کلاس آموزشی با محوریت تسلط به آسیب‌پذیری‌های روز دنیا رو تدوین کنم. این کلاس پیشنیاز یک کلاس حرفه‌ای‌تر تبدیل شدن به باگ‌هانتر هست. البته نظر خود من اینه که بعد از این دوره شرکت‌کننده‌ها اگه کمی زمان اضافه‌تر بذارن باید بتونن توی برنامه‌های بانتی ایرانی باگ پیدا کنن، چون چندین آسیب‌پذیری که روشون قرار بحث بشه و عملی کار کنیم، از آسیب‌پذیری‌های واقعی بودن که توی برنامه‌های بانتی ایرانی پیدا شده (بیشتر آسیب‌پذیری‌ها از مثال‌های خارجی هستند). فکر می‌کنم کل توضیحات رو توی بروشور دوره دادم، بزودی سیلابس رو اینجا میذارم. فیلم معرفی دوره:

سیلابس دوره رو می‌تونید به‌صورت آنلاین از این جا مشاهده کنین:

https://owasp10.notion.site/OWASP-TOP10-to-Hunt-df552a00ccf54c5daa2335237c5bad87

شروع شدن کلاس طبق کلاس‌های پیشین با دادن منابع و خوندن پیشنیازها شروع میشه تا موقعی که خودم هم پیشنیازها رو درس بدم. زمان برای خوندن پیشنیازها توی OWASP قبلی ۸ هفته بوده که توی این OWASP به ۶ هفته کاهش پیدا کرده که بنظرم توی بازدهی کلاس در بدترین حالت زیر ۳٪ تاثیر داره. قیمت دوره ۴/۱۶۹/۰۰۰ تومان هست (۱۰ درصد افزایش نسبت به قیمت قبلی)،‌ ~~۶ تیر ماه ساعت ۱۰ شب لینک ثبت‌نام همین‌جا گذاشته میشه.~~ برای ثبت‌نام روی این لینک کلیک کنید.

آخرین به‌روزرسانی: ۱۴۰۱/۰۳/۱۸ ساعت ۰۰:۱۷

نظرات شرکت‌کننده‌های دوره‌های پیشین:

نظرات شرکت‌کننده‌ها دریافت

کلاس آموزشی Hunting Vulnerabilities

این کلاس در در آینده میخوام برگزار کنم، افرادی که کلاس قبلی رو اومده باشن راحت می‌تونن توی این کلاس شرکت کنن، یعنی پیشنیاز شرکت در این کلاس تسلط کامل به آسیب‌پذیری‌ها هست که توی کلاس OWASP برآورده میشه. توضیحات دوره (این فیلم برای سال پیشه،‌ یه سری توضیحات جدید باید به کلاس اضافه بشه، یکم سیلابس تغییر می‌کنه، پس کلیات رو فقط از این کلیپ نگاه کنین، ولی منتظر به‌روزرسانی باشید):

اطلاعات راجع به زمان دقیق و مبلغ ثبت‌نام گذاشته می‌شود.