Badam Niazi, profile picture
Uploaded byBadam Niazi
PPTX, PDF7 views

Web_Application_Attacks_Beginner_PS.pptx

xyz

Embed presentation

Download to read offline
( ‫ابتدایي‬ ‫بریدونه‬ ‫اپلېکېشن‬ ‫وېب‬ ‫د‬ )‫کچه‬ : | __________ : ‫موده‬ ‫ښوونکی‬ ۴۵ – ۶۰ ‫دقیقې‬
‫موخې‬ • ‫دي‬ ‫څه‬ ‫بریدونه‬ ‫وېب‬ ‫چې‬ ‫پوهېدل‬ ‫ژبه‬ ‫ساده‬ ‫په‬ ‫پېښېږي‬ ‫ولې‬ ‫او‬. • ‫الب‬ ‫کمزور‬ ‫قصدًا‬ ‫او‬ ‫وسایل‬ ‫خوندي‬ ‫لپاره‬ ‫تمرین‬ ‫د‬ ‫پېژندل‬. • ‫کول‬ ‫زده‬ ‫اصول‬ ‫بنسټیز‬ ‫مخنیوي‬ ‫د‬.
‫دي؟‬ ‫څه‬ ‫بریدونه‬ ‫وېب‬ • ‫کوي‬ ‫خبرې‬ ‫ترمنځ‬ ‫سرور‬ ‫او‬ ‫براؤزر‬ ‫د‬ ‫‌اپ‬ ‫ب‬‫وې‬. • ‫کوي‬ ‫هڅه‬ ‫بریدوونکي‬: • • ‫واستوي‬ ‫داخل‬ ‫ناپاک‬ → Injection (‫لکه‬ SQLi) • • ‫کړي‬ ‫ترالسه‬ ‫معلومات‬ ‫کاروونکي‬ ‫بل‬ ‫د‬ → Broken Access Control / IDOR • • ‫وچلوي‬ ‫کوډ‬ ‫کې‬ ‫براؤزر‬ ‫په‬ → XSS • • / ‫وکاروي‬ ‫کمزوري‬ ‫سیشن‬ ‫الګین‬ ‫د‬ → Auth/Session flaws • • ‫وکاروي‬ ‫تنظیمونه‬ ‫ناسمي‬ (Debug ‫ډیفالټ‬ ،‫آن‬
‫کاروو؟‬ ‫وسایل‬ ‫ولې‬ • ‫لپاره‬ ‫سمولو‬ ‫او‬ ‫کتل‬ ،‫موندلو‬ ‫کمزوریو‬ ‫د‬. • ‫تم‬ 练 ‫په‬ ‫نه‬ ،‫کوو‬ ‫کې‬ ‫البونو‬ ‫خوندي‬ ‫په‬ ‫یوازې‬ ‫سایټونو‬ ‫حقیقي‬.
Burp Suite (PortSwigger) • Interception proxy: ‫ترمنځ‬ ‫سرور‬ ‫او‬ ‫براؤزر‬ / ‫نیسي‬ ‫ځوابونه‬ ‫غوښتنې‬. • / / ‫بیا‬ ‫کړې‬ ‫بدل‬ ‫وګورې‬ ‫ریکوېسټ‬ ‫شې‬ ‫کولی‬ ‫ولېږې‬ (Proxy, Repeater). • Intruder/Scanner ‫په‬ Pro ‫لپاره‬ ‫کړې‬ ‫زده‬ ‫د‬ ‫کې؛‬ Community ‫ده‬ ‫کافي‬.
Nikto • ‫سکنر‬ ‫ګړندی‬ ‫سرور‬ ‫وېب‬ ‫د‬. • / ‫ساده‬ ،‫نسخې‬ ‫زړې‬ ،‫الرې‬ ‫فایلونه‬ ‫ډیفالټ‬ ‫خطرناک‬ ‫مومي‬ ‫تنظیمونه‬ ‫ناسمي‬. • ‫کړي‬ ‫تایید‬ ‫باید‬ ‫انسان‬ ‫نتایج‬.
WebGoat (OWASP) • ‫‌اپ‬ ‫ب‬‫وې‬ ‫تعلیمي‬ ‫کمزور‬ ‫قصدًا‬. • ‫زده‬ ‫الرې‬ ‫دفاع‬ ‫د‬ ‫او‬ ‫تمرینوو‬ ‫بریدونه‬ ‫ډول‬ ‫امن‬ ‫په‬ ‫کوو‬. • ‫بیلګې‬: SQL Injection، XSS، Access Control، Session.
‫وسیلې‬ ‫زوړې‬ (WebScarab, Paros) • ‫زوړې‬ Java ‫وسیلې‬ ‫پروکسي‬. • ‫بدیلونه‬ ‫اوسني‬: Burp Suite ‫یا‬ OWASP ZAP (‫)مفت‬.
– ‫پیل‬ ‫چټک‬ ‫الب‬ ‫خوندي‬ • ۱) WebGoat (Docker): • docker run -p 8080:8080 -p 9090:9090 --rm webgoat/goatandwolf • ‫کړئ‬ ‫خالص‬ ‫بیا‬: http://localhost:8080/WebGoat • ۲) Burp Suite Community ‫تنظیم‬: • ‫براؤزر‬ Proxy: 127.0.0.1:8080، ‫د‬ Burp CA ‫ومنئ‬ (HTTPS). • ۳) : ‫په‬ ‫تمرین‬ ‫ساده‬ Proxy ‫ریکوېسټونه‬ ‫کې‬ ‫وګورئ؛‬ Repeater ‫کړئ‬ ‫بدل‬ ‫پارامیټر‬ ‫یو‬ ‫کې‬.
– ‫ساده‬ ‫ډېر‬ ‫بریدونه‬ ‫عام‬ ‫درې‬ • Injection (SQLi): ‫ډیټابېس‬ ‫د‬ ‫داخل‬ ‫ناپاک‬ ‫بدلوي‬ ‫پوښتنه‬. • ‫مخنیوی‬: Parameterized Queries / Prepared Statements. • XSS: ‫کې‬ ‫براؤزر‬ ‫په‬ ‫کاروونکي‬ ‫د‬ ‫داخل‬ ‫ناپاک‬ ‫چلوي‬ ‫سکریپټ‬. • ‫مخنیوی‬: Output Encoding + Content-Security- Policy (CSP). • Broken Access Control / IDOR: ‫بل‬ ‫د‬ ‫کاروونکی‬ / ‫بدلوي‬ ‫ویني‬ ‫معلومات‬ ‫چا‬.
/ ‫بنسټونه‬ ‫الګین‬ ‫سیشن‬ • ‫پالیسي‬ ‫پاسورډ‬ ‫قوي‬ + MFA. • ‫کوکي‬ ‫خوندي‬: HttpOnly, Secure, SameSite. • Rate limit/Lockout‫مهال‬ ‫پر‬ ‫بدلون‬ ‫امتیاز‬ ‫د‬ ‫؛‬ Session rotation.
‫ساتنه‬ ‫تازه‬ ‫او‬ ‫تنظیم‬ • ‫کې‬ ‫تولید‬ ‫په‬ Debug ‫بند‬. • Secure headers: HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy. • ‫وساتئ‬ ‫تازه‬ ‫وابستګۍ‬.
‫‌لېست‬ ‫ک‬‫چ‬ ‫ابتدایي‬ • ☑ / ‫پاکول‬ ‫تایید‬ ‫انپټ‬ + Parameterized Queries. • ☑ Output Encoding + CSP. • ☑ - ‫خوا‬ ‫سرور‬ Access control. • ☑ / ‫کول‬ ‫خوندي‬ ‫کوکي‬ ‫سیشن‬. • ☑ Debug ‫بند‬ + Secure headers. • ☑ / + ‫خبرتیا‬ ‫لوګینګ‬ ‫ساده‬ ‫تازه‬ ‫وابستګۍ‬.
/ ‫یادونه‬ ‫اخالقي‬ ‫قانوني‬ • ،‫دي‬ ‫ستاسې‬ ‫چې‬ ‫وازمویئ‬ ‫سیستمونه‬ ‫هغه‬ ‫یوازې‬ ‫دي‬ ‫البونه‬ ‫کمزور‬ ‫قصدًا‬ ‫یا‬ ،‫لرئ‬ ‫اجازه‬ (WebGoat/DVWA/Juice Shop). • ‫سکنوئ‬ ‫مه‬ ‫سایټونه‬ ‫حقیقي‬ ‫اجازې‬ ‫بې‬.
/ ‫تمرین‬ ‫کار‬ ‫کورنی‬ • WebGoat ‫د‬ ‫کې‬ SQLi ‫کړئ‬ ‫بشپړ‬ ‫درس‬ ‫لومړی‬. • ‫په‬ Burp / ‫د‬ ‫او‬ ‫کړئ‬ ‫خوندي‬ ‫ځواب‬ ‫ریکوېسټ‬ ‫یو‬ ‫کې‬ ‫ولیکئ‬ ‫یادښت‬ ‫لنډ‬ ‫مخنیوي‬. • ‫ته‬ ‫پروژې‬ ‫کوچني‬ ‫خپل‬ Secure headers ‫اضافه‬ ‫کړئ‬.

More Related Content

PPTX
شرح پروژه دیتابس لیلیه
bySebghatullah Karimi
 
PDF
Project management and work well with less time Project Managment.pdf
byrizwanai2004
 
PPTX
Cyber Security - English - Pashto Training
bysadiqsahar93
 
PDF
Security tools - ابزارهای امنیتی
byMehdi Esmaeilpour
 
PDF
بکتوری
bypayam almasian
 
PPTX
CCLF_Presentation_Organized.pptx111[1][1] (1).pptx
byAbdulrauf914073
 
PDF
د ملی پيوستون پروګرام سره د ايټاليی د ھيواد مرسته
byIDCOAFGHANISTAN
 
PDF
Electronics-Grade 10 - Pashto book for student .pdf
byosamah32
 
شرح پروژه دیتابس لیلیه
bySebghatullah Karimi
 
Project management and work well with less time Project Managment.pdf
byrizwanai2004
 
Cyber Security - English - Pashto Training
bysadiqsahar93
 
Security tools - ابزارهای امنیتی
byMehdi Esmaeilpour
 
بکتوری
bypayam almasian
 
CCLF_Presentation_Organized.pptx111[1][1] (1).pptx
byAbdulrauf914073
 
د ملی پيوستون پروګرام سره د ايټاليی د ھيواد مرسته
byIDCOAFGHANISTAN
 
Electronics-Grade 10 - Pashto book for student .pdf
byosamah32
 

Similar to Web_Application_Attacks_Beginner_PS.pptx

PPTX
د ځان ارزونی راپور لیکل (2).pptx
byFaisalDanish10
 
PDF
Apple1.pdf
bypublic administration
 
PDF
Network Design and Proposal network netwrok .pdf
byhoriamommand
 
PDF
Network Design and Proposal simple network design .pdf
byhoriamommand
 
PDF
Secure Web Application Development Framework (Persian)
byAbbas Naderi
 
PPTX
ټایفascbnmmmnbfkghkkjggjkkkjjnmkkjb.pptx
byGulAhmad16
 
PPTX
Burp suite
byghanbarianm
 
PPTX
Lec 2 Generations of ComputerLec 2 Generations of ComputerLec 2 Generations o...
byBadam Niazi
 
PPTX
Lec 2 Generations of ComputerLec 2 Generations of Computer.Lec 2 Generations ...
byBadam Niazi
 
PPTX
Lec 2 Generations of ComputerLec 2 Generations of ComputerLec 2 Generations o...
byBadam Niazi
 
د ځان ارزونی راپور لیکل (2).pptx
byFaisalDanish10
 
Apple1.pdf
bypublic administration
 
Network Design and Proposal network netwrok .pdf
byhoriamommand
 
Network Design and Proposal simple network design .pdf
byhoriamommand
 
Secure Web Application Development Framework (Persian)
byAbbas Naderi
 
ټایفascbnmmmnbfkghkkjggjkkkjjnmkkjb.pptx
byGulAhmad16
 
Burp suite
byghanbarianm
 
Lec 2 Generations of ComputerLec 2 Generations of ComputerLec 2 Generations o...
byBadam Niazi
 
Lec 2 Generations of ComputerLec 2 Generations of Computer.Lec 2 Generations ...
byBadam Niazi
 
Lec 2 Generations of ComputerLec 2 Generations of ComputerLec 2 Generations o...
byBadam Niazi
 

Web_Application_Attacks_Beginner_PS.pptx

  • 1.
    ( ‫ابتدایي‬ ‫بریدونه‬ ‫اپلېکېشن‬‫وېب‬ ‫د‬ )‫کچه‬ : | __________ : ‫موده‬ ‫ښوونکی‬ ۴۵ – ۶۰ ‫دقیقې‬
  • 2.
    ‫موخې‬ • ‫دي‬ ‫څه‬‫بریدونه‬ ‫وېب‬ ‫چې‬ ‫پوهېدل‬ ‫ژبه‬ ‫ساده‬ ‫په‬ ‫پېښېږي‬ ‫ولې‬ ‫او‬. • ‫الب‬ ‫کمزور‬ ‫قصدًا‬ ‫او‬ ‫وسایل‬ ‫خوندي‬ ‫لپاره‬ ‫تمرین‬ ‫د‬ ‫پېژندل‬. • ‫کول‬ ‫زده‬ ‫اصول‬ ‫بنسټیز‬ ‫مخنیوي‬ ‫د‬.
  • 3.
    ‫دي؟‬ ‫څه‬ ‫بریدونه‬‫وېب‬ • ‫کوي‬ ‫خبرې‬ ‫ترمنځ‬ ‫سرور‬ ‫او‬ ‫براؤزر‬ ‫د‬ ‫‌اپ‬ ‫ب‬‫وې‬. • ‫کوي‬ ‫هڅه‬ ‫بریدوونکي‬: • • ‫واستوي‬ ‫داخل‬ ‫ناپاک‬ → Injection (‫لکه‬ SQLi) • • ‫کړي‬ ‫ترالسه‬ ‫معلومات‬ ‫کاروونکي‬ ‫بل‬ ‫د‬ → Broken Access Control / IDOR • • ‫وچلوي‬ ‫کوډ‬ ‫کې‬ ‫براؤزر‬ ‫په‬ → XSS • • / ‫وکاروي‬ ‫کمزوري‬ ‫سیشن‬ ‫الګین‬ ‫د‬ → Auth/Session flaws • • ‫وکاروي‬ ‫تنظیمونه‬ ‫ناسمي‬ (Debug ‫ډیفالټ‬ ،‫آن‬
  • 4.
    ‫کاروو؟‬ ‫وسایل‬ ‫ولې‬ •‫لپاره‬ ‫سمولو‬ ‫او‬ ‫کتل‬ ،‫موندلو‬ ‫کمزوریو‬ ‫د‬. • ‫تم‬ 练 ‫په‬ ‫نه‬ ،‫کوو‬ ‫کې‬ ‫البونو‬ ‫خوندي‬ ‫په‬ ‫یوازې‬ ‫سایټونو‬ ‫حقیقي‬.
  • 5.
    Burp Suite (PortSwigger) •Interception proxy: ‫ترمنځ‬ ‫سرور‬ ‫او‬ ‫براؤزر‬ / ‫نیسي‬ ‫ځوابونه‬ ‫غوښتنې‬. • / / ‫بیا‬ ‫کړې‬ ‫بدل‬ ‫وګورې‬ ‫ریکوېسټ‬ ‫شې‬ ‫کولی‬ ‫ولېږې‬ (Proxy, Repeater). • Intruder/Scanner ‫په‬ Pro ‫لپاره‬ ‫کړې‬ ‫زده‬ ‫د‬ ‫کې؛‬ Community ‫ده‬ ‫کافي‬.
  • 6.
    Nikto • ‫سکنر‬ ‫ګړندی‬‫سرور‬ ‫وېب‬ ‫د‬. • / ‫ساده‬ ،‫نسخې‬ ‫زړې‬ ،‫الرې‬ ‫فایلونه‬ ‫ډیفالټ‬ ‫خطرناک‬ ‫مومي‬ ‫تنظیمونه‬ ‫ناسمي‬. • ‫کړي‬ ‫تایید‬ ‫باید‬ ‫انسان‬ ‫نتایج‬.
  • 7.
    WebGoat (OWASP) • ‫‌اپ‬ ‫ب‬‫وې‬‫تعلیمي‬ ‫کمزور‬ ‫قصدًا‬. • ‫زده‬ ‫الرې‬ ‫دفاع‬ ‫د‬ ‫او‬ ‫تمرینوو‬ ‫بریدونه‬ ‫ډول‬ ‫امن‬ ‫په‬ ‫کوو‬. • ‫بیلګې‬: SQL Injection، XSS، Access Control، Session.
  • 8.
    ‫وسیلې‬ ‫زوړې‬ (WebScarab,Paros) • ‫زوړې‬ Java ‫وسیلې‬ ‫پروکسي‬. • ‫بدیلونه‬ ‫اوسني‬: Burp Suite ‫یا‬ OWASP ZAP (‫)مفت‬.
  • 9.
    – ‫پیل‬ ‫چټک‬ ‫الب‬‫خوندي‬ • ۱) WebGoat (Docker): • docker run -p 8080:8080 -p 9090:9090 --rm webgoat/goatandwolf • ‫کړئ‬ ‫خالص‬ ‫بیا‬: http://localhost:8080/WebGoat • ۲) Burp Suite Community ‫تنظیم‬: • ‫براؤزر‬ Proxy: 127.0.0.1:8080، ‫د‬ Burp CA ‫ومنئ‬ (HTTPS). • ۳) : ‫په‬ ‫تمرین‬ ‫ساده‬ Proxy ‫ریکوېسټونه‬ ‫کې‬ ‫وګورئ؛‬ Repeater ‫کړئ‬ ‫بدل‬ ‫پارامیټر‬ ‫یو‬ ‫کې‬.
  • 10.
    – ‫ساده‬ ‫ډېر‬ ‫بریدونه‬‫عام‬ ‫درې‬ • Injection (SQLi): ‫ډیټابېس‬ ‫د‬ ‫داخل‬ ‫ناپاک‬ ‫بدلوي‬ ‫پوښتنه‬. • ‫مخنیوی‬: Parameterized Queries / Prepared Statements. • XSS: ‫کې‬ ‫براؤزر‬ ‫په‬ ‫کاروونکي‬ ‫د‬ ‫داخل‬ ‫ناپاک‬ ‫چلوي‬ ‫سکریپټ‬. • ‫مخنیوی‬: Output Encoding + Content-Security- Policy (CSP). • Broken Access Control / IDOR: ‫بل‬ ‫د‬ ‫کاروونکی‬ / ‫بدلوي‬ ‫ویني‬ ‫معلومات‬ ‫چا‬.
  • 11.
    / ‫بنسټونه‬ ‫الګین‬ ‫سیشن‬ •‫پالیسي‬ ‫پاسورډ‬ ‫قوي‬ + MFA. • ‫کوکي‬ ‫خوندي‬: HttpOnly, Secure, SameSite. • Rate limit/Lockout‫مهال‬ ‫پر‬ ‫بدلون‬ ‫امتیاز‬ ‫د‬ ‫؛‬ Session rotation.
  • 12.
    ‫ساتنه‬ ‫تازه‬ ‫او‬‫تنظیم‬ • ‫کې‬ ‫تولید‬ ‫په‬ Debug ‫بند‬. • Secure headers: HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy. • ‫وساتئ‬ ‫تازه‬ ‫وابستګۍ‬.
  • 13.
    ‫‌لېست‬ ‫ک‬‫چ‬ ‫ابتدایي‬ • ☑/ ‫پاکول‬ ‫تایید‬ ‫انپټ‬ + Parameterized Queries. • ☑ Output Encoding + CSP. • ☑ - ‫خوا‬ ‫سرور‬ Access control. • ☑ / ‫کول‬ ‫خوندي‬ ‫کوکي‬ ‫سیشن‬. • ☑ Debug ‫بند‬ + Secure headers. • ☑ / + ‫خبرتیا‬ ‫لوګینګ‬ ‫ساده‬ ‫تازه‬ ‫وابستګۍ‬.
  • 14.
    / ‫یادونه‬ ‫اخالقي‬ ‫قانوني‬ •،‫دي‬ ‫ستاسې‬ ‫چې‬ ‫وازمویئ‬ ‫سیستمونه‬ ‫هغه‬ ‫یوازې‬ ‫دي‬ ‫البونه‬ ‫کمزور‬ ‫قصدًا‬ ‫یا‬ ،‫لرئ‬ ‫اجازه‬ (WebGoat/DVWA/Juice Shop). • ‫سکنوئ‬ ‫مه‬ ‫سایټونه‬ ‫حقیقي‬ ‫اجازې‬ ‫بې‬.
  • 15.
    / ‫تمرین‬ ‫کار‬ ‫کورنی‬ •WebGoat ‫د‬ ‫کې‬ SQLi ‫کړئ‬ ‫بشپړ‬ ‫درس‬ ‫لومړی‬. • ‫په‬ Burp / ‫د‬ ‫او‬ ‫کړئ‬ ‫خوندي‬ ‫ځواب‬ ‫ریکوېسټ‬ ‫یو‬ ‫کې‬ ‫ولیکئ‬ ‫یادښت‬ ‫لنډ‬ ‫مخنیوي‬. • ‫ته‬ ‫پروژې‬ ‫کوچني‬ ‫خپل‬ Secure headers ‫اضافه‬ ‫کړئ‬.