آموزش برنامه‌نویسی امن: بهترین شیوه‌های امنیتی در اپلیکیشن‌های وب - آخرین آپدیت

سرفصل ها و درس ها

مقدمه Introduction

• برنامه ارتباطی Communication Plan

• نکاتی برای بهبود تجربه یادگیری شما در دوره Tips to Improve Your Course Taking Experience

• بات Learn IT – دستیار یادگیری رایگان شما با AI Learn IT Bot – Your Free AI Learning Assistant

• بات AI رایگان مخصوص دانشجویان – بدون ثبت‌نام، رایگان، فقط تمرین Free AI Bot for My Students Only – No Sign-Up, FREE, Just Practice

• ساختار دوره و نحوه پیمایش در آن Course Structure & How to Navigate This Course

ده تهدید برتر OWASP 2021 OWASP Top 10 2021

• مروری بر OWASP Top 10 OWASP Top 10: Overview

• کنترل دسترسی معیوب (Broken Access Control) Broken Access Control

• شکست‌های رمزنگاری (تئوری، داده‌های حساس، نشت داده‌ها، انواع شکست‌ها) Cryptography Failures (Theory, Sensitive Data, Data Breach, Types of Failures)

• شکست‌های رمزنگاری (مثال‌های عملی، SQL Injections، TLS/SSL، HTTPS) Cryptography Failures (Practical Examples, SQL Injections, TLS/SSL, HTTPS)

• شکست‌های رمزنگاری (مثال‌ها، رمزنگاری رمز عبور، Hashing، Salting) Cryptography Failures (Examples, Password Encryption, Hashing, Salting)

• تزریق یا Injection (مرور کلی، Fuzzing، CWEها، تاثیرات، انواع تزریق، تزریق دستورات) Injection (Overview, Fuzzing, CWEs, Impact, Injection Types, Command Injection)

• تزریق (Cross Site Scripting، انواع XSS، تزریق‌های SQL، JPA و NoSQL) Injection (Cross Site Scripting, Types of XSS, SQL, JPA, NoSQL Injections)

• تزریق (تزریق XPath، تزریق Log، اعتبارسنجی ورودی) Injection (XPath Injection, Log Injection, Input Validation)

• طراحی ناامن (مرور کلی، CWEها، امنیت Shift Left، مانیفست مدل‌سازی تهدید) Insecure Design (Overivew, CWEs, Shift Left Security, Threat Modeling Manifesto)

• طراحی ناامن (فرآیند طراحی امن، کنترل‌های امنیتی، معیارها، مثال‌ها) Insecure Design (Secure Design Process, Security Controls, Metrics, Examples)

• پیکربندی نادرست امنیتی (مرور کلی، CWEها، انواع، حملات واقعی) Security Misconfiguration (Overview, CWEs, Types, Real-life attacks)

• پیکربندی نادرست امنیتی (Hardening، اعتماد صفر، دفاع در عمق، تمرین) Security Misconfiguration (Hardening, Zero Trust, Defense in Depth, Practice)

• اجزای آسیب‌پذیر و قدیمی Vulnerable & Outdated Components

• شکست‌های شناسایی و احراز هویت Identification & Authentication Failures

• شکست‌های یکپارچگی نرم‌افزار و داده‌ها Software & Data Integrity Failures

• شکست‌های مانیتورینگ و لاگ‌گذاری امنیتی Security Logging & Monitoring Failures

• جعل درخواست سمت سرور (SSRF) Server-Side Request Forgery (SSRF)

ده تهدید برتر امنیت API OWASP 2023 OWASP API Security Top 10 2023

• پروژه امنیت API OWASP و ده مورد برتر امنیت API 2023 OWASP API Security Project & OWASP API Security Top 10 2023

• API1:2023 مجوز سطح شیء معیوب - بخش اول API1:2023 Broken Object Level Authorization - Part 1

• API1:2023 مجوز سطح شیء معیوب - بخش دوم (تمرین) API1:2023 Broken Object Level Authorization - Part 2 (Practice)

• API1:2023 مجوز سطح شیء معیوب - بخش سوم (اعتماد صفر، UUIDها) API1:2023 Broken Object Level Authorization - Part 3 (Zero-Trust, UUIDs)

• API2:2023 احراز هویت معیوب - بخش اول (مبانی، تاثیرات، انواع حملات) API2:2023 Broken Authentication - Part 1 (Basics, Impact, Types of Attacks)

• API2:2023 احراز هویت معیوب - بخش دوم (مطالعات موردی، OAuth، OpenID) API2:2023 Broken Authentication - Part 2 (Case Studies, OAuth, OpenID)

• API2:2023 احراز هویت معیوب - بخش سوم (تمرین، توکن‌های JWT، حملات Timing) API2:2023 Broken Authentication - P.3 - (Practice, JWT Tokens, Timing Attacks)

• API3:2023 مجوز سطح ویژگی شیء معیوب - بخش اول API3:2023 Broken Object Property Level Authorization - Part 1

• API3:2023 مجوز سطح ویژگی شیء معیوب - بخش دوم (تمرین) API3:2023 Broken Object Property Level Authorization - Part 2 (Practice)

• API4:2023 مصرف نامحدود منابع - بخش اول API4:2023 Unrestricted Resource Consumption - Part 1

• API4:2023 مصرف نامحدود منابع - بخش دوم (تمرین) API4:2023 Unrestricted Resource Consumption - Part 2 (Practice)

• API5:2023 مجوز سطح تابع معیوب - بخش اول API5:2023 Broken Function Level Authorization - Part 1

• API5:2023 مجوز سطح تابع معیوب - بخش دوم (تمرین) API5:2023 Broken Function Level Authorization - Part 2 (Practice)

• API6:2023 دسترسی نامحدود به جریان‌های حساس کسب‌وکار - بخش اول API6:2023 Unrestricted Access to Sensitive Business Flows - Part 1

• API6:2023 دسترسی نامحدود به جریان‌های حساس کسب‌وکار - بخش دوم API6:2023 Unrestricted Access to Sensitive Business Flows - Part 2

• API6:2023 دسترسی نامحدود به جریان‌های حساس کسب‌وکار - بخش سوم (تمرین) API6:2023 Unrestricted Access to Sensitive Business Flows - Part 3 (Practice)

• API7:2023 جعل درخواست سمت سرور (SSRF) API7:2023 - Server Side Request Forgery

• API8:2023 پیکربندی نادرست امنیتی API8:2023 - Security Misconfiguration

• API9:2023 مدیریت نامناسب موجودی (Inventory) - بخش اول API9:2023 Improper Inventory Management - Part 1

• API9:2023 مدیریت نامناسب موجودی (Inventory) - بخش دوم (تمرین) API9:2023 Improper Inventory Management - Part 2 (Practice)

• API10:2023 مصرف ناامن APIها - بخش اول API10:2023 Unsafe Consumption of APIs - Part 1

• API10:2023 مصرف ناامن APIها - بخش دوم (تمرین) API10:2023 Unsafe Consumption of APIs - Part 2 (Practice)

اسپرینگ سکیوریتی (Spring Security) Spring Security

• مقدمه‌ای بر Spring Security Spring Security Introduction

• اولین فرم ورود و پیکربندی اولین فیلتر امنیتی First Login Form & First Security Filter Configuration

• ورود با کاربران دیتابیس، نقش‌ها و دسترسی‌ها Login with Database Users, Roles & Privileges

• قابلیت Remember Me و امنیت در سطح متدها Remember Me & Methods Security

• معماری Spring Security و Authentication Provider Spring Security Architecture & Authentication Provider

• پروژه امتحانی: فروشگاه آنلاین با Spring Security EXAM: Spring Security - Online Shop

اسپرینگ بوت (Spring Boot) Spring Boot

• مقدمه‌ای بر Spring Boot Spring Boot: Introduction

• اولین پروژه Spring Boot The First Spring Boot Project

• استارترهای Spring Boot Spring Boot Starters

• پیکربندی‌های Spring Boot و Application Properties Spring Boot Configurations & Application Properties

• ابزارهای مانیتورینگ Spring Boot Actuator Spring Boot Actuator - Monitoring Tools

سیستم‌های منعطف، مقیاس‌پذیر و امن با Spring Boot Resilient, Scalable & Secure Systems with Spring Boot

• چرا این بخش بخشی از دوره است و چرا اهمیت دارد Why this section is part of the course - and why it is improtant

• مفهوم OAuth، OAuth 2.0، JWT، OpenID Connect و Identity Provider OAuth, OAuth 2.0, JWT & OpenID Connect, Identity Provider

• تمرین: پیکربندی Identity Provider با استفاده از Auth0 Practice: Auth0 - Configuration of Identity Provider

• پیکربندی OAuth و Open ID Connect در Spring Boot - بخش اول OAuth & Open ID Connect Configuration in Spring Boot - Part 1

• پیکربندی OAuth و Open ID Connect در Spring Boot - بخش دوم OAuth & Open ID Connect Configuration in Spring Boot - Part 2

• تست امنیت: تست Endpoints در Spring Boot - بخش اول Testing Security: Testing of Spring Boot Endpoints - Part 1

• تست امنیت: تست Endpoints در Spring Boot - بخش دوم Testing Security: Testing of Spring Boot Endpoints - Part 2

• محافظت از APIها با استفاده از Rate Limiting Protecting APIs with Rate Limiting

• راهنمای عملی Rate Limiting: کتابخانه Bucket4j Rate Limiting Practical Guide: Bucket4j

• ساخت سرویس‌های منعطف با Resilience4j در Spring Boot: الگوی Circuit Breaker Building Resilient Services with Resilience4j in Spring Boot. Circuit Breaker

• تمرین Circuit Breaker Circuit Breaker - Practice

• الگوی Retry در Spring Boot و Resilience4j Spring Boot + Resilience4j: Retry Pattern

• الگوی Time Limiter در Spring Boot و Resilience4j Spring Boot + Resilience4j: Time Limiter Pattern

• الگوی Rate Limiter در Spring Boot و Resilience4j Spring Boot + Resilience4j: Rate Limitter Pattern

• الگوی Bulkhead در Spring Boot و Resilience4j Spring Boot + Resilience4j: Bulkhead Pattern

• الگوهای میکروسرویس در عمل: بررسی API Gateway Microservices Patterns in Practice: Exploring API Gateway

• تمرین با Spring Cloud Gateway Spring Cloud Gateway: Practice

• درک Load Balancing: مفاهیم، استراتژی‌ها و موارد استفاده Understanding Load Balancing: Concepts, Strategies, and Use Cases

• پیاده‌سازی Load Balancing با Spring Cloud LoadBalancer Implementing Load Balancing with Spring Cloud LoadBalancer

امنیت سایبری: شیوه‌های جامع امنیتی برای توسعه‌دهندگان Cybersecurity: Comprehensive Security Practices for Developers

• مقدمه‌ای بر امنیت سایبری بخش اول: مروری بر چشم‌انداز فعلی تهدیدات سایبری Introduction to Cybersecurity p.1 - Overview of current cyber threat landscape

• مقدمه‌ای بر امنیت سایبری بخش دوم: مطالعات موردی، مدل‌های تحلیل تهدید و بیشتر Introduction to Cybersecurity p.2 - Case Studies, Threat Analysis Models & More

• مقدمه‌ای بر امنیت سایبری بخش سوم: کنترل‌های امنیتی، SDD و SOC Introduction to Cybersecurity p.3 - Security Controls, SDD, SOC

• نکات عمومی امنیت: کدنویسی با دیدگاه ایمنی General Security Tips: Writing Code with Safety in Mind

• امن‌سازی ورودی‌ها: نحوه اعتبارسنجی و پاک‌سازی داده‌های ورودی Securing Inputs: How to Validate and Sanitize Input Data

• محافظت از خروجی‌ها: کدگذاری موثر برای سیستم‌های امن Safeguarding Outputs: Effective Encoding for Secure Systems

• تسلط بر احراز هویت: بهترین شیوه‌ها برای مدیریت اعتبارنامه‌های کاربر Mastering Authentication: Best Practices for Managing User Credentials

• امن‌سازی نشست‌ها: جلوگیری از ربایش (Hijacking) و بهبود پایداری Securing Sessions: Preventing Hijacking and Improving Stability

• محدود کردن دسترسی‌ها: پیاده‌سازی مکانیزم‌های قدرتمند تعیین سطح دسترسی Locking Down Access: Implementing Robust Authorization Mechanisms

• معماری Zero Trust و احراز هویت مدرن Zero Trust Architecture and Modern Authentication

• ضروریات رمزنگاری: محافظت از داده‌ها با کریپتوگرافی - بخش اول Encryption Essentials: Protecting Data with Cryptography - Part 1

• ضروریات رمزنگاری: محافظت از داده‌ها با کریپتوگرافی - بخش دوم Encryption Essentials: Protecting Data with Cryptography - Part 2

• دفاع از داده‌ها: استراتژی‌های محافظت از اطلاعات حساس Defending Data: Strategies for Protecting Sensitive Information

• امن‌سازی دیتابیس‌ها: بهترین شیوه‌ها برای جلوگیری از SQL Injection Securing Databases: Best Practices for Preventing SQL Injection

• مدیریت امن فایل‌ها: جلوگیری از آسیب‌پذیری‌های مبتنی بر فایل Safe File Handling: Preventing File-Based Vulnerabilities

• محافظت از کانال‌های ارتباطی: تضمین انتقال امن داده‌ها Protecting Communication Channels: Ensuring Secure Transmission of Data

• Hardening پیکربندی سیستم: کاهش سطح حمله (Attack Surface) Hardening System Configurations: Reducing Attack Surface

• بهترین شیوه‌های امنیت ابری (Cloud Security) Cloud Security Best Practices

• امنیت اپلیکیشن‌های موبایل Mobile Application Security

مطالب تکمیلی: راهکارهای امنیت سایبری مبتنی بر AI Extra Materials: AI Cybersecurity Solutions

• خوش‌آمدگویی و نقشه یادگیری بخش Welcome & Learning Section Map

• چشم‌انداز تهدیدات هوش مصنوعی مولد (GenAI) The GenAI Threat Landscape

• آناتومی یک اپلیکیشن GenAI (معماری مرجع) Anatomy of a GenAI Application (Reference Architecture)

• حکمرانی، سیاست‌ها و انطباق برای سیستم‌های AI Governance, Policy, and Compliance for AI Systems

• مدل‌سازی تهدید برای سیستم‌های GenAI Threat Modeling for GenAI Systems

• چرخه حیات توسعه امن نرم‌افزار AI (AI SDLC) Secure AI Software Development Lifecycle (AI-SDLC)

• دیوارهای آتش AI و حفاظت در زمان اجرا (Runtime Protection) AI Firewalls and Runtime Protection

• API، هویت و دسترسی برای سیستم‌های AI API, Identity & Access for AI Systems

• مدیریت وضعیت امنیتی AI (SPM) AI Security Posture Management (SPM)

• امنیت داده‌ها و حکمرانی در سیستم‌های AI Data Security and Governance in AI Systems

• کلاس‌های رایج آسیب‌پذیری و روش‌های کاهش آن‌ها Common Vulnerability Classes & Mitigations

• قابلیت مشاهده (Observability) و ابزارهای ارزیابی AI Observability and AI Evaluation Tools

• مطالعات موردی: امنیت AI در عمل Case Studies: AI Security in Practice

• خرید در برابر ساخت: انتخاب راهکارهای امنیتی AI Buy vs Build: Choosing AI Security Solutions

• طراحی پشته کنترل امنیتی AI AI Security Control Stack Design

بخش هدیه Bonus Section

• درس هدیه Bonus Lesson