آموزش ابتدا API خود را هک کنید

Hack Your API First

نکته: آخرین آپدیت رو دریافت میکنید حتی اگر این محتوا بروز نباشد.
نمونه ویدیویی برای نمایش وجود ندارد.
توضیحات دوره: سالهای اخیر شاهد انفجار عظیمی در رشد برنامه های کلاینت غنی بوده ایم که با استفاده از API در سراسر HTTP از طریق وب صحبت می کنند ، اما متأسفانه اغلب آنها دارای آسیب پذیری های امنیتی جدی هستند که در واقع یافتن آنها بسیار آسان است. این ... گسترش همه مقدمه 30 متر 37s کشف ارتباط دستگاه با API ها 37m 37s Leaky API و Hidden API 41m 49s دستکاری API و دستکاری پارامتر 32m 31s آسیب پذیری های تأیید اعتبار و مجوز API دهه 50 م کار با ترافیک API رمزگذاری شده SSL دهه 54 54 علائم تجاری و نام تجاری اشخاص ثالث ذکر شده در این دوره متعلق به صاحبان مربوطه می باشند و Pluralsight وابسته یا تأیید شده توسط این احزاب نیست.

سرفصل ها و درس ها

مقدمه Introduction

  • Age of the API The Age of the API

  • ماهیت پنهان امنیت API The Hidden Nature of API Security

  • دقیقاً API چیست؟ What Exactly Is an API?

  • محدوده این دوره چیست؟ What's the Scope of This Course?

  • معرفی مسابقه Supercar Introducing Supercar Showdown

  • معرفی برنامه آسیب پذیر موبایل Introducing the Vulnerable Mobile App

  • خلاصه Summary

کشف ارتباط دستگاه با API ها Discovering Device Communication With APIs

  • ما در حال محافظت از API های خود هستیم؟ Who Are We Protecting Our APIs From?

  • پروکسی ترافیک دستگاه از طریق Fiddler Proxying Device Traffic Through Fiddler

  • تفسیر داده های گرفته شده در Fiddler Interpreting Captured Data in Fiddler

  • رهگیری داده های برنامه تلفن همراه در Fiddler Intercepting Mobile App Data in Fiddler

  • از طریق Fiddler اطلاعات بیشتری درباره برنامه های تلفن همراه پیدا کنید Discovering More About Mobile Apps via Fiddler

  • فیلتر کردن ترافیک در Fiddler Filtering Traffic in Fiddler

  • مکانیسم رهگیری ترافیک جایگزین Alternate Traffic Interception Mechanisms

  • خلاصه Summary

Leaky API و Hidden API Leaky APIs and Hidden APIs

  • مقدمه Introduction

  • کشف API های Leaky Discovering Leaky APIs

  • امنیت یک API Leaky Securing a Leaky API

  • کشف API های پنهان از طریق Documentation Pages Discovering Hidden APIs via Documentation Pages

  • کشف API های پنهان از طریق robots.txt Discovering Hidden APIs via robots.txt

  • کشف API های پنهان از طریق Google Discovering Hidden APIs via Google

  • امنیت API های پنهان Securing Hidden APIs

  • خلاصه Summary

دستکاری API و دستکاری پارامتر API Manipulation and Parameter Tampering

  • مقدمه Introduction

  • تعریف داده های نامعتبر Defining Untrusted Data

  • تغییر ترافیک وب در Fiddler Modifying Web Traffic in Fiddler

  • دستکاری منطق برنامه با درخواست دستکاری Manipulating App Logic by Request Tampering

  • دستکاری پاسخ Response Tampering

  • خلاصه Summary

آسیب پذیری های تأیید اعتبار و مجوز API API Authentication and Authorization Vulnerabilities

  • مقدمه Introduction

  • شناسایی پایداری احراز هویت Identifying Authentication Persistence

  • نقش نشانه ها The Role of Tokens

  • یک نشان خودکار در عمل An Auth Token in Practice

  • مروری بر کنترلهای مجوز An Overview of Authorization Controls

  • شناسایی کنترل های مشتری در مقابل کنترل های سرور Identifying Client Controls vs. Server Controls

  • دور زدن کنترل های مجوز مشتری Circumventing Client Authorization Controls

  • در حال آزمایش برای مجوز کافی Testing for Insufficient Authorization

  • آزمایش برای محافظت از Brute Force Testing for Brute Force Protection

  • نقش OpenID Connect و OAuth The Role of OpenID Connect and OAuth

  • خلاصه Summary

کار با ترافیک API رمزگذاری شده SSL Working With SSL Encrypted API Traffic

  • مقدمه Introduction

  • استفاده از اتصال HTTPS با Fiddler MitM'ing an HTTPS Connection With Fiddler

  • پیکربندی Fiddler برای رمزگشایی اتصالات رمزگذاری شده Configuring Fiddler to Decrypt Encrypted Connections

  • پراکسی کردن ترافیک دستگاه رمزگذاری شده از طریق Fiddler Proxying Encrypted Device Traffic via Fiddler

  • رد گواهینامه های نامعتبر Rejecting Invalid Certificates

  • شناسایی چک اعتبار سنجی گمشده Identifying a Missing Certificate Validation Check

  • بارگیری گواهینامه Fiddler روی دستگاه Loading the Fiddler Certificate on a Device

  • رفتار SSL در یک دستگاه در معرض خطر SSL Behavior on a Compromised Device

  • شناسایی گواهینامه های نامعتبر Identifying Invalid Certificates

  • پیشنهاد ارزش پین کردن گواهی The Value Proposition of Certificate Pinning

  • نمایش سنجاق گواهی Demonstrating Certificate Pinning

  • خلاصه Summary

نمایش نظرات

آموزش ابتدا API خود را هک کنید
جزییات دوره
4h 7m
52
Pluralsight (پلورال سایت) Pluralsight (پلورال سایت)
(آخرین آپدیت)
410
4.6 از 5
دارد
دارد
دارد
Troy Hunt
جهت دریافت آخرین اخبار و آپدیت ها در کانال تلگرام عضو شوید.

Google Chrome Browser

Internet Download Manager

Pot Player

Winrar

Troy Hunt Troy Hunt

تروی هانت یک مدیر منطقه ای مایکروسافت و MVP برای امنیت توسعه دهنده ، یک ASPInsider و یک نویسنده تمام وقت برای Pluralsight است - یک رهبر در آموزش آنلاین برای فن آوری و متخصصان خلاق. Troy از همان روزهای ابتدایی وب در حال ساخت نرم افزار برای مرورگرها بوده و از توانایی استثنایی در تقسیم موضوعات پیچیده در توضیحات قابل استفاده برخوردار است. این امر باعث شده است تروی در صنعت امنیت به عنوان یک رهبر فکری در صنعت شناخته شود و بیش از بیست دوره با رتبه برتر برای Pluralsight تولید کند. در حال حاضر ، تروی به شدت درگیر است آیا من pwned شده ام؟ (HIBP) یک سرویس رایگان است که اطلاعات نقض را جمع می کند و به افراد کمک می کند تا تأثیرات بالقوه ناشی از فعالیت وب مخرب را ایجاد کنند. Troy بطور مرتب درباره امنیت وبلاگ می نویسد و سخنران مکرری در کنفرانسهای صنعت در سرتاسر جهان و رسانه ها برای بحث در مورد طیف گسترده ای از فناوری ها است. تروی در چندین مقاله با نشریاتی از جمله فوربس ، مجله TIME ، Mashable ، PCWorld ، ZDNet و Yahoo! فن آوری گذشته از فناوری و امنیت ، تروی یک بازیکن اسنوبورد ، موج سوار و تنیس باز است