آموزش امنیت وب: آسیب پذیری های رایج و کاهش آنها [ویدئو]

سرفصل ها و درس ها

شما، این دوره و ما You, This Course and Us

• شما، این دوره و ما You, This Course and Us

امنیت چیست؟ What Is Security?

• امنیت و اجزای سازنده آن Security and its building blocks

• تعاریف و دسته بندی های مربوط به امنیت Security related definitions and categories

اسکریپت متقابل سایت Cross Site Scripting

• XSS چیست؟ What is XSS?

• با مثال بیاموزید - حمله XSS چگونه کار می کند؟ Learn by example - how does a XSS attack work?

• انواع XSS Types of XSS

• کاهش و پیشگیری XSS XSS mitigation and prevention

پاکسازی و اعتبارسنجی ورودی کاربر User Input Sanitization And Validation

• ورودی ضدعفونی کننده Sanitizing input

• ورودی پاکسازی - هنوز انجام نشده است Sanitizing input - still not done

• اعتبار سنجی ورودی Validating input

• در حال تأیید ورودی - چند چیز دیگر برای گفتن Validating input - some more stuff to say

• ورودی‌های کدگذاری سمت مشتری، فهرست سیاه و فهرست سفید Client Side Encoding, Blacklisting and Whitelisting inputs

سرفصل خط مشی امنیت محتوا The Content Security Policy Header

• قوانین برای مرورگر Rules for the browser

• دستورات و حروف عام پیش فرض Default directives and wildcards

• از کد درون خطی و تابع ()eval دوری کنید Stay away from inline code and the eval() function

• ویژگی nonce و هش اسکریپت The nonce attribute and the script hash

مدیریت اعتبار Credentials Management

• احراز هویت خراب و مدیریت جلسه Broken authentication and session management

• همه چیز درباره رمزهای عبور - قدرت، استفاده و انتقال All about passwords - Strength, Use and Transit

• همه چیز در مورد رمزهای عبور - ذخیره سازی All about passwords – Storage

• با مثال یاد بگیرید - احراز هویت ورود به سیستم Learn by example - login authentication

• کمی در مورد هش کردن A little bit about hashing

• همه چیز در مورد رمزهای عبور - بازیابی All about passwords – Recovery

مدیریت جلسه Session Management

• جلسه چیست؟ What is a session?

• آناتومی یک حمله جلسه Anatomy of a session attack

• ربودن جلسه - راه ها را بشمارید Session hijacking - count the ways

• با مثال بیاموزید - جلسات بدون کوکی Learn by example - sessions without cookies

• شناسه‌های جلسه با استفاده از فیلدهای فرم پنهان و کوکی‌ها Session ids using hidden form fields and cookies

• ربودن جلسه با استفاده از ثابت کردن جلسه Session hijacking using session fixation

• اقدامات مقابله با ربودن جلسه Session hijacking counter measures

• Session hijacking - sidejacking، XSS و بدافزار Session hijacking - sidejacking, XSS and malware

تزریق SQL SQL Injection

• بابی میز کیست؟ Who Is Bobby Tables?

• با مثال یاد بگیرید - SQLi چگونه کار می کند؟ Learn by example - how does SQLi work?

• آناتومی یک حمله SQLi - ورودی غیر بهداشتی و خطاهای سرور Anatomy of a SQLi attack - unsanitized input and server errors

• آناتومی یک حمله SQLi - نام جدول و نام ستون Anatomy of a SQLi attack - table names and column names

• آناتومی یک حمله SQLi - دریافت اعتبارنامه معتبر برای سایت Anatomy of a SQLi attack - getting valid credentials for the site

• انواع تزریق SQL Types of SQL injection

• کاهش SQLi - پرس و جوهای پارامتری و رویه های ذخیره شده SQLi mitigation - parameterized queries and stored procedures

• کاهش SQLi - فرار از ورودی کاربر، حداقل امتیاز، اعتبار سنجی لیست سفید SQLi mitigation - Escaping user input, least privilege, whitelist validation

جعل درخواست متقابل سایت Cross Site Request Forgery

• XSRF چیست؟ What is XSRF?

• با مثال یاد بگیرید - XSRF با پارامترهای GET و POST Learn by example - XSRF with GET and POST parameters

• کاهش XSRF - ارجاع، سربرگ مبدا و پاسخ چالش XSRF mitigation - The referer, origin header and the challenge response

• کاهش XSRF - توکن همگام ساز XSRF mitigation - The synchronizer token

مقدار زیادی از اطلاعات جالب Lot's Of Interesting Bits Of Information

• پروژه امنیت برنامه وب باز The Open Web Application Security Project

• احراز هویت 2 عاملی و OTP 2 factor authentications and OTPs

• مهندسی اجتماعی Social Engineering

مرجع مستقیم شیء Direct Object Reference

• حمله مرجع مستقیم شی - جزئیات پیاده سازی را افشا نکنید The direct object reference attack - do not leak implementation details

• کاهش‌های مرجع مستقیم شی Direct object reference mitigations

آی فریم ها Iframes

• IFrames نگرانی های امنیتی خاص خود را دارد IFrames come with their own security concerns

• آیفریم های سندباکس Sandboxing iframes

یک کلمه آخر One last word

• جمع بندی لیست 10 برتر OWASP Wrapping up the OWASP top 10 list

PHP و MySQL نصب و راه اندازی PHP and MySQL Install And Set Up

• نصب PHP (ویندوز) Installing PHP (Windows)

• فعال کردن MySQL و استفاده از phpmyadmin (ویندوز) Enabling MySQL and using phpmyadmin (Windows)

• نصب PHP (Mac) Installing PHP (Mac)

• نصب MySQL (Mac) Installing MySQL (Mac)

• استفاده از MySQL Workbench (Mac) Using MySQL Workbench (Mac)

• دریافت PHP و MySQL برای صحبت با یکدیگر (Mac) Getting PHP and MySQL to talk to each other (Mac)