آموزش OWASP 10 خطرناک امنیت وب برنامه های کاربردی برای ASP.NET

OWASP Top 10 Web Application Security Risks for ASP.NET

نکته: آخرین آپدیت رو دریافت میکنید حتی اگر این محتوا بروز نباشد.
نمونه ویدیویی برای نمایش وجود ندارد.
توضیحات دوره: این دوره به معرفی 10 مورد مهمترین خطرهای امنیتی برنامه کاربردی وب OWASP از جمله نحوه نمایش و کاهش آنها در ASP.NET می پردازد. همه را بزرگ کنید مقدمه 17 متر 15 ثانیه تزریق 49m 29s Cross Site Scripting (XSS) 59 متر 20s اعتبار سنجی و مدیریت جلسه شکسته 28 متر 10 ثانیه منابع ناامن مستقیم اشیا 35m 44s جعل درخواست متقابل سایت (CSRF) 38m 19s پیکربندی غلط امنیتی 47 متر 48s ذخیره رمزنگاری ناامن 1 ساعت و 5 دقیقه 0 ثانیه عدم دسترسی به URL 42 متر 0 ثانیه عدم محافظت کافی از لایه حمل و نقل 1 ساعت و 12 دقیقه و 26 ثانیه هدایت و انتقال نامعتبر 30 متر 49s علائم تجاری و نام تجاری اشخاص ثالث ذکر شده در این دوره متعلق به صاحبان مربوطه می باشند و Pluralsight وابسته یا تأیید شده توسط این احزاب نیست.

سرفصل ها و درس ها

مقدمه Introduction

  • مقدمه Introduction

  • چه کسی هک می شود؟ Who's getting hacked?

  • چه کسی هک می کند؟ Who's doing the hacking?

  • OWASP و 10 برتر OWASP and the Top 10

  • اعمال امنیت در عمق Applying security in depth

تزریق Injection

  • مقدمه Introduction

  • بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

  • نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

  • خطر در عمل: LulzSec و Sony Risk in practice: LulzSec and Sony

  • درک تزریق SQL Understanding SQL injection

  • تعریف داده های غیرقابل اعتماد Defining untrusted data

  • نسخه ی نمایشی: اصل حداقل امتیاز Demo: The principle of least privilege

  • نسخه ی نمایشی: پارامتر سازی SQL درون خطی Demo: Inline SQL parameterisation

  • نسخه ی نمایشی: پارامتر سازی روش ذخیره شده Demo: Stored procedure parameterisation

  • نسخه ی نمایشی: در لیست سفید قرار دادن داده های غیرقابل اعتماد است Demo: Whitelisting untrusted data

  • نسخه ی نمایشی: پارامترهای SQL Entity Framework Demo: Entity Framework’s SQL parameterisation

  • نسخه ی نمایشی: تزریق از طریق روش های ذخیره شده Demo: Injection through stored procedures

  • نسخه ی نمایشی: اتوماسیون تزریق با Havij Demo: Injection automation with Havij

  • خلاصه Summary

Cross Site Scripting (XSS) Cross Site Scripting (XSS)

  • مقدمه Introduction

  • بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

  • نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

  • خطر در عمل: فضای من و سامی Risk in practice: My Space and Samy

  • درک XSS Understanding XSS

  • مفاهیم رمزگذاری خروجی Output encoding concepts

  • نسخه ی نمایشی: اجرای رمزگذاری خروجی Demo: Implementing output encoding

  • نسخه ی نمایشی: رمزگذاری خروجی در فرم های وب Demo: Output encoding in web forms

  • نسخه ی نمایشی: رمزگذاری خروجی در MVC Demo: Output encoding in MVC

  • نسخه ی نمایشی: در لیست سفید مقادیر مجاز قرار می گیرد Demo: Whitelisting allowable values

  • نسخه ی نمایشی: اعتبار درخواست ASP.NET Demo: ASP.NET request validation

  • نسخه ی نمایشی: بازتابنده در برابر XSS مداوم Demo: Reflective versus persistent XSS

  • نسخه ی نمایشی: دفاع بومی مرورگر Demo: Native browser defences

  • نسخه ی نمایشی: مبهم سازی محموله Demo: Payload obfuscation

  • خلاصه Summary

اعتبار سنجی و مدیریت جلسه شکسته Broken Authentication and Session Management

  • مقدمه Introduction

  • بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

  • نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

  • خطر در عمل: رفع جلسات اپل Risk in practice: Apple's session fixation

  • حالت پایدار در یک پروتکل بدون حالت Persisting state in a stateless protocol

  • خطر تداوم جلسه در URL در مقابل کوکی ها The risk of session persistence in the URL versus cookies

  • نسخه ی نمایشی: پیکربندی ایمن پایداری جلسه Demo: Securely configuring session persistence

  • نسخه ی نمایشی: برای تأیید اعتبار از ارائه دهنده عضویت ASP.NET استفاده می کنید Demo: Leveraging ASP.NET membership provider for authentication

  • سفارشی کردن جلسه و فرم های زمانی برای به حداقل رساندن پنجره های خطر Customising session and forms timeouts to minimise risk windows

  • سایدینگ در مقابل مهلت زمانی فرمهای ثابت Siding versus fixed forms timeout

  • سایر الگوهای احراز هویت شکسته Other broken authentication patterns

  • خلاصه Summary

منابع ناامن مستقیم اشیا Insecure Direct Object References

  • مقدمه Introduction

  • بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

  • نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

  • خطر در عمل: سیتی بانک Risk in practice: Citibank

  • درک منابع مستقیم شی Understanding direct object references

  • نسخه ی نمایشی: اجرای کنترل های دسترسی Demo: Implementing access controls

  • درک نقشه های مرجع غیر مستقیم Understanding indirect reference maps

  • نسخه ی نمایشی: ساختن یک نقشه مرجع غیر مستقیم Demo: Building an indirect reference map

  • گیج شدن از طریق کلیدهای جایگزین تصادفی Obfuscation via random surrogate keys

  • خلاصه Summary

جعل درخواست متقابل سایت (CSRF) Cross Site Request Forgery (CSRF)

  • مقدمه Introduction

  • بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

  • نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

  • خطر در عمل: مودم های برزیلی به خطر افتاده Risk in practice: Compromised Brazilian modems

  • آنچه حمله CSRF را ممکن می کند What makes a CSRF attack possible

  • درک نشانه های ضد جعل Understanding anti-forgery tokens

  • نسخه ی نمایشی: اجرای رمز ضد جعل در MVC Demo: Implementing an anti-forgery token in MVC

  • نسخه ی نمایشی: رویکرد فرم های وب برای نشانه های ضد جعل Demo: Web forms approach to anti-forgery tokens

  • مغالطه های CSRF و دفاع دفاعی مرورگر CSRF fallacies and browser defences

  • خلاصه Summary

پیکربندی غلط امنیتی Security Misconfiguration

  • مقدمه Introduction

  • بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

  • نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

  • خطر در عمل: ELMAH Risk in practice: ELMAH

  • نسخه ی نمایشی: پیکربندی درست خطاهای سفارشی Demo: Correctly configuring custom errors

  • نسخه ی نمایشی: ایمن سازی ردیابی فرم های وب Demo: Securing web forms tracing

  • نسخه ی نمایشی: به روز نگه داشتن چارچوب ها با NuGet Demo: Keeping frameworks current with NuGet

  • نسخه ی نمایشی: رمزگذاری قسمتهای حساس web.config Demo: Encrypting sensitive parts of the web.config

  • نسخه ی نمایشی: استفاده از تبدیل پیکربندی برای اعمال تنظیمات ایمن Demo: Using config transforms to apply secure configurations

  • نسخه ی نمایشی: فعال کردن حالت خرده فروشی در سرور Demo: Enabling retail mode on the server

  • خلاصه Summary

ذخیره رمزنگاری ناامن Insecure Cryptographic Storage

  • مقدمه Introduction

  • بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

  • نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

  • خطر در عمل: رمزهای عبور ABC Risk in practice: ABC passwords

  • درک حافظه رمز عبور و هش کردن Understanding password storage and hashing

  • درک حملات نمک و نیروی بی رحم Understanding salt and brute force attacks

  • کاهش سرعت هش ها با ارائه دهنده عضویت جدید Slowing down hashes with the new Membership Provider

  • سایر پیاده سازی های قوی تر هش کردن Other stronger hashing implementations

  • مواردی که در هنگام انتخاب یک اجرای هش باید در نظر بگیرید Things to consider when choosing a hashing implementation

  • درک رمزگذاری متقارن و نامتقارن Understanding symmetric and asymmetric encryption

  • نسخه ی نمایشی: رمزگذاری متقارن با استفاده از DPAPI Demo: Symmetric encryption using DPAPI

  • آنچه رمزنگاری نیست What's not cryptographic

  • خلاصه Summary

عدم دسترسی به URL Failure to Restrict URL Access

  • مقدمه Introduction

  • بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

  • نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

  • خطر در عمل: نشت AT Apple Risk in practice: Apple AT&T leak

  • نسخه ی نمایشی: کنترل های دسترسی در قسمت 1 ASP.NET: مکان های web.config Demo: Access controls in ASP.NET part 1: web.config locations

  • نسخه ی نمایشی: کنترل های دسترسی در ASP.NET قسمت 2: ویژگی مجاز بودن Demo: Access controls in ASP.NET part 2: The authorize attribute

  • نسخه ی نمایشی: مجوز مبتنی بر نقش با ارائه دهنده نقش ASP.NET Demo: Role based authorisation with the ASP.NET Role Provider

  • سایر دسترسی ها خطر و باورهای غلط را کنترل می کنند Other access controls risk and misconceptions

  • خلاصه Summary

عدم محافظت کافی از لایه حمل و نقل Insufficient Transport Layer Protection

  • مقدمه Introduction

  • بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

  • نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

  • خطر در عمل: ISP تونس Risk in practice: Tunisian ISPs

  • نسخه ی نمایشی: درک کوکی های امن و احراز هویت فرم ها Demo: Understanding secure cookies and forms authentication

  • نسخه ی نمایشی: ایمن سازی سایر کوکی ها در ASP.NET Demo: Securing other cookies in ASP.NET

  • نسخه ی نمایشی: مجبور کردن فرم های وب برای استفاده از HTTPS Demo: Forcing web forms to use HTTPS

  • نسخه ی نمایشی: نیاز به HTTPS در کنترل کننده های MVC Demo: Requiring HTTPS on MVC controllers

  • نسخه ی نمایشی: حالت مخلوط HTTPS Demo: Mixed mode HTTPS

  • امنیت حمل و نقل دقیق HTTP HTTP strict transport security

  • سایر الگوهای HTTPS ناکافی Other insufficient HTTPS patterns

  • سایر ملاحظات HTTPS Other HTTPS considerations

  • خلاصه Summary

هدایت و انتقال نامعتبر Unvalidated Redirects and Forwards

  • مقدمه Introduction

  • بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

  • نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

  • خطر در عمل: وب سایت های دولت ایالات متحده Risk in practice: US government websites

  • درک ارزش تغییر مسیرهای نامعتبر به مهاجمان Understanding the value of unvalidated redirects to attackers

  • نسخه ی نمایشی: اجرای لیست سفید Demo: implementing a whitelist

  • نسخه ی نمایشی: اجرای بررسی ارجاع Demo: implementing referrer checking

  • سایر موارد با ریسک تغییر مسیر نامعتبر Other issues with the unvalidated redirect risk

  • خلاصه Summary

نمایش نظرات

آموزش OWASP 10 خطرناک امنیت وب برنامه های کاربردی برای ASP.NET
جزییات دوره
8h 6m
121
Pluralsight (پلورال سایت) Pluralsight (پلورال سایت)
(آخرین آپدیت)
1,065
- از 5
دارد
دارد
دارد
Troy Hunt
جهت دریافت آخرین اخبار و آپدیت ها در کانال تلگرام عضو شوید.

Google Chrome Browser

Internet Download Manager

Pot Player

Winrar

Troy Hunt Troy Hunt

تروی هانت یک مدیر منطقه ای مایکروسافت و MVP برای امنیت توسعه دهنده ، یک ASPInsider و یک نویسنده تمام وقت برای Pluralsight است - یک رهبر در آموزش آنلاین برای فن آوری و متخصصان خلاق. Troy از همان روزهای ابتدایی وب در حال ساخت نرم افزار برای مرورگرها بوده و از توانایی استثنایی در تقسیم موضوعات پیچیده در توضیحات قابل استفاده برخوردار است. این امر باعث شده است تروی در صنعت امنیت به عنوان یک رهبر فکری در صنعت شناخته شود و بیش از بیست دوره با رتبه برتر برای Pluralsight تولید کند. در حال حاضر ، تروی به شدت درگیر است آیا من pwned شده ام؟ (HIBP) یک سرویس رایگان است که اطلاعات نقض را جمع می کند و به افراد کمک می کند تا تأثیرات بالقوه ناشی از فعالیت وب مخرب را ایجاد کنند. Troy بطور مرتب درباره امنیت وبلاگ می نویسد و سخنران مکرری در کنفرانسهای صنعت در سرتاسر جهان و رسانه ها برای بحث در مورد طیف گسترده ای از فناوری ها است. تروی در چندین مقاله با نشریاتی از جمله فوربس ، مجله TIME ، Mashable ، PCWorld ، ZDNet و Yahoo! فن آوری گذشته از فناوری و امنیت ، تروی یک بازیکن اسنوبورد ، موج سوار و تنیس باز است