آموزش امنیت داده های برنامه وب جاوا

سرفصل ها و درس ها

بررسی اجمالی دوره Course Overview

• بررسی اجمالی دوره Course Overview

هش کردن داده ها Hashing Data

• سه قانون نظارت بر داده ها The Three Rules of Data Stewardship

• استفاده از اطلاعات ورود به سیستم حساس Leveraging Sensitive Log Information

• هش های قابل پرسش Queryable Hashes

• هش رمزگذاری نیست Hashing Is Not Encrypting

• با استفاده از MessageDigest Using MessageDigest

• رمزگذاری در Base64 Encoding in Base64

• رمزگذاری در Hex Encoding in Hex

• آیا می توانم از MD5 استفاده کنم؟ Can I Use MD5?

• مرور Review

مدیریت کلیدها و گواهینامه ها Managing Keys and Certificates

• کلیدها در Chuukese Keys in Chuukese

• JCA و رابط کلیدی JCA and the Key Interface

• تولید کننده کلید Key Generators

• کارخانه های کلیدی Key Factories

• یک سرویس کلید ساده A Simple Key Service

• ایجاد مجدد KeyPair از PrivateKey Recreating a KeyPair from a PrivateKey

• تبادل مشخصات برای کلیدها Exchanging Specs for Keys

• API KeyStore The KeyStore API

• اضافه کردن برنامه ای کلیدها به KeyStore به صورت برنامه ای Programmatically Adding Keys to a KeyStore

• تولید گواهینامه ها در جاوا Generating Certificates in Java

• چرخش کلید Key Rotation

• مدیریت کلید در خرک Key Management in Vault

• تبدیل PKCS # 1 به PKCS # 8 Converting PKCS#1 to PKCS#8

• چرخش کلید با خرک Key Rotation with Vault

• خلاصه و آخرالزمان Summary and the Apocalypse

سریال سازی و حذف اطلاعات Serializing and Deserializing Data

• یک نهاد ناامن Resolver ارزش یک میلیارد خنده را دارد An Insecure EntityResolver Is Worth a Billion Laughs

• میلیارد خنده توضیح داده شده است Billion Laughs Explained

• XXE تعریف شده است XXE Defined

• کاهش XXE با غیرفعال کردن DOCTYPE ها Mitigating XXE by Disabling DOCTYPEs

• کاهش XXE با No-op Entity Resolvers Mitigating XXE with No-op Entity Resolvers

• کاهش XXE با غیرفعال کردن سایر ویژگی ها Mitigating XXE by Disabling Other Features

• کاهش XXE با Spring Boot Mitigating XXE with Spring Boot

• بردارهای غیر DOCTYPE XML SSRF Non-DOCTYPE XML SSRF Vectors

• متنفر خواهد شد نفرت Haters Gonna Hate

• جاوا و آخرالزمان Deserialization Java and the Deserialization Apocalypse

• یک حمله JSON RCE A JSON RCE Attack

• کاهش Jerson Insecure Deserialization با جلوگیری از تایپ پیش فرض Mitigating Jackson Insecure Deserialization by Avoiding Default Typing

• کاهش Jerson Insecure Deserialization با لیست سفید Mitigating Jackson Insecure Deserialization with Whitelisting

• خطای سریال سازی جاوا چیست؟ What's Wrong with Java Serialization?

• کاهش نا مناسب کاغذ زدایی ناامن جاوا Inadequately Mitigating Java Insecure Deserialization

• تخفیف غیرمجاز سازی جاوا با لیست سفید Mitigating Java Insecure Deserialization with Whitelisting

• سریال سازی جاوا در حال ساخت است Java Serialization Is Construction

• زنجیره ابزار سریال سازی Apache Commons The Apache Commons Serialization Gadget Chain

• سریال سازی و نظارت بر داده ها Serialization and Data Stewardship

• امنیت سریال سازی با امضاها Securing Serialization with Signatures

• امنیت سریال سازی با رمزگذاری Securing Serialization with Encryption

• آهنگ Bonus: یک حمله لغزش زیپ Bonus Track: A Zip Slip Attack

• مرور Review

امضای و تأیید داده ها Signing and Verifying Data

• نسخه های جعلی Forging Prescriptions

• پیام های جعلی Forging Messages

• افزودن پیام هش Adding a Message Hash

• Mac در جاوا Macs in Java

• افزودن Mac در Terracotta Bank Adding a Mac in Terracotta Bank

• امضا و حملات زمان بندی Signatures and Timing Attacks

• MessageDigest در مقابل Mac MessageDigest vs. Mac

• امضای دیجیتال در جاوا Digital Signatures in Java

• افزودن یک امضای دیجیتالی در بانک Terracotta Adding a Digital Signature in Terracotta Bank

• پایین آوردن حملات Downgrade Attacks

• حملات را دوباره پخش کنید Replay Attacks

• افزودن Nonce به بانک Terracotta Adding a Nonce to Terracotta Bank

• چرخش کلید و JWS Key Rotation and JWS

• با استفاده از Spring Security 5.x پشتیبانی از JWS Using Spring Security 5.x JWS Support

• نتیجه Conclusion

رمزگذاری و رمزگشایی داده ها Encrypting and Decrypting Data

• طرح بابیگتون The Babington Plot

• امضای در مقابل رمزگذاری Signing vs. Encryption

• کلاس رمزگذاری جاوا Java's Cipher Class

• رمزگذاری AES در جاوا AES Encryption in Java

• واقعاً چقدر امن بود؟ How Secure Was That, Really?

• AES و Block Ciphers AES and Block Ciphers

• افزودن انتروپی به AES Adding Entropy to AES

• AES CBC در جاوا AES CBC in Java

• افزودن احراز هویت به AES Adding Authentication to AES

• AES GCM در جاوا AES GCM in Java

• متقارن در مقابل رمزگذاری نامتقارن Symmetric vs. Asymmetric Encryption

• رمزگذاری ترکیبی با JCA Hybrid Encryption with JCA

• معرفی Google Tink Intro to Google Tink

• رمزگذاری ترکیبی با Google Tink Hybrid Encryption with Google Tink

• مرور + ستون فقرات اینترنت امن Review + the Backbone of the Secure Internet

انتقال داده از طریق شبکه Transmitting Data over the Network

• خطرناک ترین کد جهان The Most Dangerous Code in the World

• نقطه Vuln را ببینید Spot the Vuln

• بررسی اجمالی TLS RSA Overview of TLS RSA

• پیکربندی های اشتباه SSLSocket SSLSocket Misconfigurations

• SSLContext SSLContext

• مشخص کردن الگوریتم SSLContext Specifying SSLContext's Algorithm

• اثبات هویت با مدیران کلیدی Proving Identity with Key Managers

• اعتماد به هویت با مدیران اعتماد Trusting Identity with Trust Managers

• با استفاده از TrustManager Using TrustManager

• پروتکل ها و مجموعه های رمزنگاری Protocols and Cipher Suites

• مشخص کردن پروتکل ها و مجموعه های رمزنگاری Specifying Protocols and Cipher Suites

• تأیید نام میزبان Hostname Verification

• افزودن تأیید نام میزبان Adding Hostname Verification

• TLS 1.3 TLS 1.3

• استفاده از TLS 1.3 Using TLS 1.3

• اتصال HttpsURLC در مقابل SSLSocket HttpsURLConnection vs SSLSocket

• بسته شدن Wrap-up