beginner حضوري
اختبار اختراق تطبيقات الويب المتقدم
800 US$ 720 US$
حول الدورة
معسكر اختبار اختراق تطبيقات الويب المتقدم هو برنامج تدريبي مكثف وعملي، مخصص لمحترفي الأمن السيبراني ذوي الخبرة الذين يرغبون في الانتقال إلى ما بعد فحص الثغرات التقليدي، والدخول في عالم الاستغلال المتقدم والواقعي. تركز الدورة على الاختبار اليدوي لهياكل تطبيقات الويب الحديثة، بما في ذلك الأنظمة القائمة على الخدمات المصغرة (Microservices)، والتطبيقات السحابية الأصلية (Cloud-Native)، وواجهات برمجة التطبيقات (APIs)، وGraphQL، وآليات المصادقة المتقدمة مثل JWT و OAuth2 و SSO. يتعلم المشاركون كيفية اكتشاف الثغرات المعقدة واستغلالها وربطها ببعضها البعض، وهي الثغرات التي غالبًا ما تفشل الأدوات الآلية في اكتشافها، مثل أخطاء منطق الأعمال، وحالات السباق (Race Conditions)، وتهريب الطلبات (Request Smuggling)، وهجمات الخادم (Server-Side Attacks). يُقدَّم المعسكر على مدار 5 أيام (40 ساعة)، سواء بالحضور المباشر أو عبر الإنترنت، ويعكس سيناريوهات عمل حقيقية لفرق Red Team ومهام أمن التطبيقات المتقدمة، مما يؤهل المشاركين لتنفيذ تقييمات عالية التأثير وتولي أدوار أمنية متقدمة.عن المدرب
محمد شريف
خبير في اختبار الاختراق واستشاري في الأمن السيبراني، بخبرة تزيد عن 6 سنوات في تقييم أمن المواقع، تطبيقات الهاتف، الشبكات، والشبكات اللاسلكية. أمتلك سجلاً حافلاً في اكتشاف الثغرات الأمنية الحرجة لكبرى المؤسسات العالمية، سواء من خلال المشاريع المؤسسية أو برامج مكافآت الثغرات (Bug Bounty). متمرس في منهجيات اختبار الاختراق المتقدمة، وصيد الثغرات، وعمليات الفريق الأحمر (Red Teaming) عبر البنى التحتية المعقدة. أعمل حالياً ضمن فريق الأمن الهجومي (Offensive Security)، حيث أساهم في تعزيز دفاعات الشركات من خلال اختبارات الأمان المستمرة ونشر الوعي الأمني.الأهداف
بنهاية هذا المعسكر التدريبي، سيكون المشاركون قادرين على:- تحليل هياكل تطبيقات الويب الحديثة، بما في ذلك Microservices والتصاميم السحابية الأصلية
- اكتشاف واستغلال ثغرات HTTP المتقدمة يدويًا مثل Request Smuggling
- استغلال ثغرات الحقن على جانب الخادم (SSTI، NoSQL، LDAP)
- تجاوز أنظمة المصادقة وإدارة الهوية الحديثة (JWT، OAuth2، SAML)
- اختبار GraphQL وWebSockets وواجهات برمجة التطبيقات المعقدة
- اكتشاف واستغلال أخطاء منطق الأعمال وحالات السباق
- ربط عدة ثغرات منخفضة الخطورة للوصول إلى تأثيرات حرجة
- العمل بعقلية مختبر اختراق أو عضو Red Team من المستوى المتقدم خلال المهام المعقدة
المميزات
- تركيز متقدم على الاستغلال اليدوي
- تغطية تقنيات الويب الحديثة
- مختبرات Red Team واقعية
- محاكاة نهائية لاختراق ضخم (Mega-Breach)
- هجمات متقدمة على أنظمة المصادقة
- أخطاء منطق الأعمال وحالات السباق
- استخدام أدوات احترافية
المتطلبات
الحد الأدنى لمتطلبات الجهاز:
- المعالج: Intel Core i5 أو AMD Ryzen 5 (مع تفعيل المحاكاة الافتراضية)
- الذاكرة العشوائية (RAM): 16 جيجابايت كحد أدنى (32 جيجابايت موصى بها)
- مساحة التخزين: 50 جيجابايت مساحة فارغة (يفضل SSD)
الحد الأدنى من المعرفة:
- فهم عميق لبروتوكول HTTP/S، والترويسات (Headers)، وأكواد الحالة (Status Codes)
- إجادة استخدام Burp Suite (Proxy، Repeater، Intruder)
- القدرة على قراءة وكتابة سكربتات بسيطة (Python أو Bash أو JavaScript)
- الإلمام بثغرات OWASP Top 10
الوحدة 01: هياكل تطبيقات الويب الحديثة
01.1: فهم Microservices، وReverse Proxies، وAPI Gateways
01.2: رسم وتحليل أسطح الهجوم المعقدة
الخبرة المكتسبة: تحليل سطح الهجوم المعماري
الوحدة 02: هجمات HTTP المتقدمة
02.1: استغلال Request Smuggling وCache Poisoning
02.2: تجاوز جدران الحماية (WAF) على مستوى البروتوكول
الخبرة المكتسبة: مهارات استغلال HTTP منخفضة المستوى
الوحدة 03: هجمات الحقن على جانب الخادم
03.1: استغلال ثغرات SSTI وNoSQL وLDAP
03.2: تحقيق تنفيذ أوامر عن بُعد (RCE) في بيئات حديثة
الخبرة المكتسبة: استغلال متقدم على مستوى الخادم
الوحدة 04: هجمات المصادقة وإدارة الجلسات
04.1: التلاعب بـ JWT وتجاوز OAuth2 / SAML
04.2: تقنيات CSRF المتقدمة
الخبرة المكتسبة: تقنيات اختراق أنظمة الهوية
الوحدة 05: هجمات GraphQL وWebSocket
05.1: استغلال خاصية Introspection وBatching
05.2: اختطاف WebSocket عبر المواقع (Cross-Site WebSocket Hijacking)
الخبرة المكتسبة: استغلال البروتوكولات المعتمدة على العميل
الوحدة 06: SSRF وDeserialization
06.1: هجمات بيانات التعريف السحابية (Cloud Metadata) والهروب من الحاويات
06.2: استغلال Deserialization غير الآمن
الخبرة المكتسبة: اختراق البنية التحتية
الوحدة 07: أخطاء منطق الأعمال وحالات السباق
07.1: تجاوز منطق الحالة (State-Machine Bypasses)
07.2: استغلال حالات السباق عالية السرعة
الخبرة المكتسبة: بناء حدس هجومي لمنطق الأعمال
الوحدة 08: التخفي والاستطلاع المتقدم
08.1: تقنيات تجاوز WAF والعمل الخفي
08.2: اكتشاف واجهات API المخفية وSource Maps
الخبرة المكتسبة: استطلاع خفي وبناء استمرارية
الوحدة 09: سلاسل الهجوم على APIs وMicroservices
09.1: ربط الثغرات عبر عدة خدمات
09.2: تحقيق تأثيرات حرجة من ثغرات بسيطة
الخبرة المكتسبة: بناء سلاسل هجوم كاملة
التحدي النهائي: محاكاة الاختراق الضخم (Mega-Breach Simulation)
تقييم Red Team بأسلوب Black-Box لمنصة مصرفية
إعداد تقارير على مستوى الإدارة التنفيذية
الخبرة المكتسبة: تجربة مهام من مستوى كبار المختصين
تقييمات العملاء
اطّلع على آراء عملائنا
F
فيصل م.
غيرت هذه الدورة المتقدمة نظرتي تماماً تجاه التعامل مع تطبيقات الويب. فهي تتجاوز مجرد الثغرات الأساسية وتتعمق في سلاسل الهجمات المعقدة، والعيوب المنطقية، وتقنيات الاستغلال الواقعية. أشعر حقاً أنها تدريب موجه لخبراء اختبار الاختراق المحترفين.
N
نور أ.
أكثر ما نال إعجابي هو التركيز على المنهجيات المتقدمة. تعلمك الدورة كيفية التفكير النقدي، وربط الثغرات معاً، وتحديد نقاط الضعف الأمنية الدقيقة التي غالباً ما يتم إغفالها في الاختبارات الأساسية.
A
عبد الله س.
كانت المختبرات (Labs) مليئة بالتحدي - بطريقة إيجابية. لقد أجبرتني على التروي وتحليل التطبيقات بعمق، وتطبيق عدة تقنيات معاً. إنها أقرب بكثير إلى المشاريع الحقيقية مع العملاء مقارنة بالدورات المبتدئة.
H
هدى ر.
ساعدتني هذه الدورة على الانتقال من اكتشاف الأخطاء البسيطة إلى اكتشاف ثغرات مؤثرة مثل مشكلات التحكم في الوصول المتقدمة وعيوب منطق الأعمال. لقد تحسنت تقاريري وجودة الاختبار بشكل عام بشكل ملحوظ.
هل هذه الدورة مناسبة للمبتدئين؟
لا. هذا معسكر متقدم مخصص لمختبري الاختراق ومحترفي الأمن ذوي الخبرة.
هل تعتمد الدورة على أدوات الفحص الآلي؟
لا. التركيز الأساسي على الاستغلال اليدوي وعقلية المهاجم.
هل هذه الدورة مفيدة لممارسي Bug Bounty؟
نعم. تركز الدورة على ثغرات عالية التأثير وغير تقليدية، وهي غالبًا ما تكون محل مكافآت في برامج Bug Bounty.
هل سأعمل على سيناريوهات واقعية؟
نعم. جميع المختبرات والمحاكاة النهائية مبنية على بيئات ويب حديثة وواقعية.
هل يوجد تقييم نهائي؟
نعم. تمثل محاكاة Mega-Breach تقييمًا عمليًا متكاملًا من البداية إلى النهاية.
على ماذا سأحصل بعد انتهاء الدورة؟
يحصل المشاركون على دليل الدورة، وإمكانية الوصول إلى بيئة مختبرات الهجوم، وجهاز هجوم مُعد مسبقًا، وملفات Cheat Sheets لكل وحدة.
9 وحدات
مثال على الشهادة
مثال على الشارة
