آموزش OWASP 10 خطرناک امنیت وب برنامه های کاربردی برای ASP.NET

سرفصل ها و درس ها

مقدمه Introduction

• مقدمه Introduction

• چه کسی هک می شود؟ Who's getting hacked?

• چه کسی هک می کند؟ Who's doing the hacking?

• OWASP و 10 برتر OWASP and the Top 10

• اعمال امنیت در عمق Applying security in depth

تزریق Injection

• مقدمه Introduction

• بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

• نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

• خطر در عمل: LulzSec و Sony Risk in practice: LulzSec and Sony

• درک تزریق SQL Understanding SQL injection

• تعریف داده های غیرقابل اعتماد Defining untrusted data

• نسخه ی نمایشی: اصل حداقل امتیاز Demo: The principle of least privilege

• نسخه ی نمایشی: پارامتر سازی SQL درون خطی Demo: Inline SQL parameterisation

• نسخه ی نمایشی: پارامتر سازی روش ذخیره شده Demo: Stored procedure parameterisation

• نسخه ی نمایشی: در لیست سفید قرار دادن داده های غیرقابل اعتماد است Demo: Whitelisting untrusted data

• نسخه ی نمایشی: پارامترهای SQL Entity Framework Demo: Entity Framework’s SQL parameterisation

• نسخه ی نمایشی: تزریق از طریق روش های ذخیره شده Demo: Injection through stored procedures

• نسخه ی نمایشی: اتوماسیون تزریق با Havij Demo: Injection automation with Havij

• خلاصه Summary

Cross Site Scripting (XSS) Cross Site Scripting (XSS)

• مقدمه Introduction

• بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

• نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

• خطر در عمل: فضای من و سامی Risk in practice: My Space and Samy

• درک XSS Understanding XSS

• مفاهیم رمزگذاری خروجی Output encoding concepts

• نسخه ی نمایشی: اجرای رمزگذاری خروجی Demo: Implementing output encoding

• نسخه ی نمایشی: رمزگذاری خروجی در فرم های وب Demo: Output encoding in web forms

• نسخه ی نمایشی: رمزگذاری خروجی در MVC Demo: Output encoding in MVC

• نسخه ی نمایشی: در لیست سفید مقادیر مجاز قرار می گیرد Demo: Whitelisting allowable values

• نسخه ی نمایشی: اعتبار درخواست ASP.NET Demo: ASP.NET request validation

• نسخه ی نمایشی: بازتابنده در برابر XSS مداوم Demo: Reflective versus persistent XSS

• نسخه ی نمایشی: دفاع بومی مرورگر Demo: Native browser defences

• نسخه ی نمایشی: مبهم سازی محموله Demo: Payload obfuscation

• خلاصه Summary

اعتبار سنجی و مدیریت جلسه شکسته Broken Authentication and Session Management

• مقدمه Introduction

• بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

• نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

• خطر در عمل: رفع جلسات اپل Risk in practice: Apple's session fixation

• حالت پایدار در یک پروتکل بدون حالت Persisting state in a stateless protocol

• خطر تداوم جلسه در URL در مقابل کوکی ها The risk of session persistence in the URL versus cookies

• نسخه ی نمایشی: پیکربندی ایمن پایداری جلسه Demo: Securely configuring session persistence

• نسخه ی نمایشی: برای تأیید اعتبار از ارائه دهنده عضویت ASP.NET استفاده می کنید Demo: Leveraging ASP.NET membership provider for authentication

• سفارشی کردن جلسه و فرم های زمانی برای به حداقل رساندن پنجره های خطر Customising session and forms timeouts to minimise risk windows

• سایدینگ در مقابل مهلت زمانی فرمهای ثابت Siding versus fixed forms timeout

• سایر الگوهای احراز هویت شکسته Other broken authentication patterns

• خلاصه Summary

منابع ناامن مستقیم اشیا Insecure Direct Object References

• مقدمه Introduction

• بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

• نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

• خطر در عمل: سیتی بانک Risk in practice: Citibank

• درک منابع مستقیم شی Understanding direct object references

• نسخه ی نمایشی: اجرای کنترل های دسترسی Demo: Implementing access controls

• درک نقشه های مرجع غیر مستقیم Understanding indirect reference maps

• نسخه ی نمایشی: ساختن یک نقشه مرجع غیر مستقیم Demo: Building an indirect reference map

• گیج شدن از طریق کلیدهای جایگزین تصادفی Obfuscation via random surrogate keys

• خلاصه Summary

جعل درخواست متقابل سایت (CSRF) Cross Site Request Forgery (CSRF)

• مقدمه Introduction

• بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

• نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

• خطر در عمل: مودم های برزیلی به خطر افتاده Risk in practice: Compromised Brazilian modems

• آنچه حمله CSRF را ممکن می کند What makes a CSRF attack possible

• درک نشانه های ضد جعل Understanding anti-forgery tokens

• نسخه ی نمایشی: اجرای رمز ضد جعل در MVC Demo: Implementing an anti-forgery token in MVC

• نسخه ی نمایشی: رویکرد فرم های وب برای نشانه های ضد جعل Demo: Web forms approach to anti-forgery tokens

• مغالطه های CSRF و دفاع دفاعی مرورگر CSRF fallacies and browser defences

• خلاصه Summary

پیکربندی غلط امنیتی Security Misconfiguration

• مقدمه Introduction

• بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

• نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

• خطر در عمل: ELMAH Risk in practice: ELMAH

• نسخه ی نمایشی: پیکربندی درست خطاهای سفارشی Demo: Correctly configuring custom errors

• نسخه ی نمایشی: ایمن سازی ردیابی فرم های وب Demo: Securing web forms tracing

• نسخه ی نمایشی: به روز نگه داشتن چارچوب ها با NuGet Demo: Keeping frameworks current with NuGet

• نسخه ی نمایشی: رمزگذاری قسمتهای حساس web.config Demo: Encrypting sensitive parts of the web.config

• نسخه ی نمایشی: استفاده از تبدیل پیکربندی برای اعمال تنظیمات ایمن Demo: Using config transforms to apply secure configurations

• نسخه ی نمایشی: فعال کردن حالت خرده فروشی در سرور Demo: Enabling retail mode on the server

• خلاصه Summary

ذخیره رمزنگاری ناامن Insecure Cryptographic Storage

• مقدمه Introduction

• بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

• نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

• خطر در عمل: رمزهای عبور ABC Risk in practice: ABC passwords

• درک حافظه رمز عبور و هش کردن Understanding password storage and hashing

• درک حملات نمک و نیروی بی رحم Understanding salt and brute force attacks

• کاهش سرعت هش ها با ارائه دهنده عضویت جدید Slowing down hashes with the new Membership Provider

• سایر پیاده سازی های قوی تر هش کردن Other stronger hashing implementations

• مواردی که در هنگام انتخاب یک اجرای هش باید در نظر بگیرید Things to consider when choosing a hashing implementation

• درک رمزگذاری متقارن و نامتقارن Understanding symmetric and asymmetric encryption

• نسخه ی نمایشی: رمزگذاری متقارن با استفاده از DPAPI Demo: Symmetric encryption using DPAPI

• آنچه رمزنگاری نیست What's not cryptographic

• خلاصه Summary

عدم دسترسی به URL Failure to Restrict URL Access

• مقدمه Introduction

• بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

• نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

• خطر در عمل: نشت AT Apple Risk in practice: Apple AT&T leak

• نسخه ی نمایشی: کنترل های دسترسی در قسمت 1 ASP.NET: مکان های web.config Demo: Access controls in ASP.NET part 1: web.config locations

• نسخه ی نمایشی: کنترل های دسترسی در ASP.NET قسمت 2: ویژگی مجاز بودن Demo: Access controls in ASP.NET part 2: The authorize attribute

• نسخه ی نمایشی: مجوز مبتنی بر نقش با ارائه دهنده نقش ASP.NET Demo: Role based authorisation with the ASP.NET Role Provider

• سایر دسترسی ها خطر و باورهای غلط را کنترل می کنند Other access controls risk and misconceptions

• خلاصه Summary

عدم محافظت کافی از لایه حمل و نقل Insufficient Transport Layer Protection

• مقدمه Introduction

• بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

• نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

• خطر در عمل: ISP تونس Risk in practice: Tunisian ISPs

• نسخه ی نمایشی: درک کوکی های امن و احراز هویت فرم ها Demo: Understanding secure cookies and forms authentication

• نسخه ی نمایشی: ایمن سازی سایر کوکی ها در ASP.NET Demo: Securing other cookies in ASP.NET

• نسخه ی نمایشی: مجبور کردن فرم های وب برای استفاده از HTTPS Demo: Forcing web forms to use HTTPS

• نسخه ی نمایشی: نیاز به HTTPS در کنترل کننده های MVC Demo: Requiring HTTPS on MVC controllers

• نسخه ی نمایشی: حالت مخلوط HTTPS Demo: Mixed mode HTTPS

• امنیت حمل و نقل دقیق HTTP HTTP strict transport security

• سایر الگوهای HTTPS ناکافی Other insufficient HTTPS patterns

• سایر ملاحظات HTTPS Other HTTPS considerations

• خلاصه Summary

هدایت و انتقال نامعتبر Unvalidated Redirects and Forwards

• مقدمه Introduction

• بررسی اجمالی OWASP و رتبه بندی ریسک OWASP overview and risk rating

• نسخه ی نمایشی: آناتومی حمله Demo: Anatomy of an attack

• خطر در عمل: وب سایت های دولت ایالات متحده Risk in practice: US government websites

• درک ارزش تغییر مسیرهای نامعتبر به مهاجمان Understanding the value of unvalidated redirects to attackers

• نسخه ی نمایشی: اجرای لیست سفید Demo: implementing a whitelist

• نسخه ی نمایشی: اجرای بررسی ارجاع Demo: implementing referrer checking

• سایر موارد با ریسک تغییر مسیر نامعتبر Other issues with the unvalidated redirect risk

• خلاصه Summary