آموزش کدنویسی ایمن در چارچوب Spring

Secure Coding in Spring Framework

نکته: آخرین آپدیت رو دریافت میکنید حتی اگر این محتوا بروز نباشد.
نمونه ویدیوها:
توضیحات دوره: یادگیری نحوه کدنویسی ایمن در Spring نه تنها مهارت های توسعه خود را افزایش می دهد، بلکه حوادث امنیتی احتمالی را در برنامه شما به شدت کاهش می دهد. در این دوره آموزشی، امنیت کدگذاری در چارچوب Spring، به نگرانی حیاتی امنیت در برنامه های کاربردی مبتنی بر Spring می پردازید و یاد می گیرید که چگونه آنها را در برابر تهدیدات رایج مختلف تقویت کنید. ابتدا، 10 تهدید امنیتی برتر OWASP را در زمینه خاص توسعه برنامه Spring بررسی خواهید کرد. در مرحله بعد، نمونه‌های متعددی از این تهدیدها را تجزیه و تحلیل و شناسایی خواهید کرد، مانند کنترل دسترسی نادرست، رمزنگاری ضعیف، آسیب‌پذیری‌های تزریق و موارد دیگر. در نهایت، یاد خواهید گرفت که چگونه برنامه Spring خود را برای کاهش این تهدیدات با استفاده از حداکثر پتانسیل فریمورک اصلاح کنید. در پایان این دوره، شما مهارت ها و دانش لازم برای اطمینان از امنیت برنامه های کاربردی Spring خود را خواهید داشت و آنها را در برابر تهدیدات امنیتی رایج مقاوم می کنید.

سرفصل ها و درس ها

بررسی اجمالی دوره Course Overview

  • بررسی اجمالی دوره Course Overview

A01 - بردارهای حمله کنترل دسترسی شکسته معمول و کاهش در برنامه های فنری A01 - Common Broken Access Control Attack Vectors and Mitigation in Spring Applications

  • معرفی Introduction

  • بررسی اجمالی امنیت بهار Spring Security Overview

  • بررسی اجمالی آزمون دوره Course Testing Overview

  • بررسی اجمالی 10 برتر OWASP OWASP Top 10 Overview

  • A01 - کنترل دسترسی شکسته A01 - Broken Access Control

  • مرور اجباری و رد کردن به صورت پیش فرض Force Browsing and Deny by Default

  • کنترل دسترسی با فیلتر مجوز امنیتی Spring Access Control with Spring Security Authorization Filter

  • نسخه ی نمایشی: پذیرش انکار به صورت پیش فرض Demo: Adopting Deny by Default

  • مرور اجباری و مراجع مستقیم شی Force Browsing and Direct Object References

  • ارجاعات غیرمستقیم شی در بهار Indirect Object References in Spring

  • نسخه ی نمایشی: مراجع غیرمستقیم شی Demo: Indirect Object References

  • Outro Outro

A01 - مدیریت کنترل دسترسی با نقش ها A01 - Managing Access Control with Roles

  • معرفی Introduction

  • معرفی نقش ها Introducing Roles

  • نقش های اجرایی در بهار Implementing Roles in Spring

  • نسخه ی نمایشی: دسترسی مبتنی بر نقش Demo: Role-based Access

  • دسترسی مبتنی بر نقش با تست پارامتری Role Based Access with Parameterized Testing

  • نسخه ی نمایشی: دسترسی مبتنی بر نقش با تست پارامتری Demo: Role Based Access with Parameterized Testing

  • کنترل دسترسی چند لایه Multi-layered Access Control

  • نسخه ی نمایشی: کنترل دسترسی چند لایه Demo: Multi-layered Access Control

A01 - مدیریت کنترل دسترسی با مقامات و سلسله مراتب نقش A01 - Managing Access Control with Authorities and Role Hierarchies

  • معرفی Introduction

  • بررسی اجمالی مقامات Authorities Overview

  • نسخه ی نمایشی: مقامات Demo: Authorities

  • بررسی اجمالی سلسله مراتب نقش Role Hierarchy Overview

  • نسخه ی نمایشی: سلسله مراتب نقش Demo: Role Hierarchies

A01 - دفاع در عمق با امنیت و مجوزهای سطح روش A01 - Defence-in-depth with Method-level Security and Permissions

  • معرفی Introduction

  • دفاع در عمق چیست؟ What Is Defence-in-depth?

  • بررسی های مجوز فراخوانی روش ارسال Post Method Invocation Authorization Checks

  • نسخه ی نمایشی: با استفاده از @PostAuthorize و @PostFilter Annotations Demo: Using the @PostAuthorize and @PostFilter Annotations

  • بررسی های مجوز پیش از فراخوانی روش Pre Method Invocation Authorization Checks

  • نسخه ی نمایشی: با استفاده از @PreAuthorize Annotation Demo: Using the @PreAuthorize Annotation

  • اتخاذ یک سرویس مجوزهای متمرکز Adopting a Centralized Permissions Service

  • نسخه ی نمایشی: سرویس مجوزهای متمرکز Demo: Centralized Permissions Service

  • اهمیت بررسی های کنترل دسترسی Importance of Access Control Reviews

A02 - خرابی های رمزنگاری در انتقال A02 - Cryptographic Failures in Transit

  • معرفی Introduction

  • نمای کلی OWASP A02 Overview of OWASP A02

  • بررسی اجمالی حمله MITM MITM Attack Overview

  • نمای کلی HTTPS HTTPS Overview

  • نمای کلی گواهی TLS TLS Certificate Overview

  • Java Keytool Quick Start Java Keytool Quickstart

  • نسخه ی نمایشی: ایجاد گواهی امضا شده توسط خود Demo: Creating a Self-signed Certificate

  • HTTPS در بهار با بسته‌های SSL HTTPS in Spring with SSL Bundles

  • نسخه آزمایشی: HTTPS در بهار با بسته‌های SSL Demo: HTTPS in Spring with SSL Bundles

  • از HTTP استفاده نکنید Don't Use HTTP

  • TLS متقابل در بهار Mutual TLS in Spring

  • نسخه ی نمایشی: TLS متقابل در بهار Demo: Mutual TLS in Spring

  • خلاصه Summary

A02 - خطاهای رمزنگاری با رمزهای عبور A02 - Cryptographic Failures with Passwords

  • معرفی Introduction

  • متن ساده در مقابل هش کردن Plaintext vs. Hashing

  • بردارهای حمله رمز عبور هش شده ناامن Insecurely Hashed Password Attack Vectors

  • نسخه ی نمایشی: کاوش بردارهای حمله رمز عبور هش شده ناامن Demo: Exploring Insecurely Hashed Password Attack Vectors

  • بررسی اجمالی انتزاع رمزگذار رمز عبور امنیتی Spring Spring Security Password Encoder Abstraction Overview

  • Spring Security مروری بر رمزگذار رمز عبور BCrypt Spring Security BCrypt Password Encoder Overview

  • نسخه ی نمایشی: Spring Security رمزگذار رمز عبور BCrypt Demo: Spring Security BCrypt Password Encoder

  • بررسی اجمالی رمزگذار گذرواژه واگذاری امنیت بهار Spring Security Delegating Password Encoder Overview

  • نسخه ی نمایشی: بهار امنیت تفویض گذرواژه مرور کلی رمزگذار Demo: Spring Security Delegating Password Encoder Overview

  • بررسی اجمالی فاکتور کار BCrypt BCrypt Work Factor Overview

  • نسخه ی نمایشی: پیکربندی فاکتور کار در رمزگذارهای رمز عبور Spring Demo: Configuring Work Factor in Spring Password Encoders

  • یادگیری بیشتر Further Learning

A03 - آسیب پذیری های تزریق در برنامه های کاربردی Spring A03 - Injection Vulnerabilities in Spring Applications

  • معرفی Introduction

  • بررسی اجمالی تزریق SQL SQL Injection Overview

  • تزریق SQL در بهار SQL Injection in Spring

  • نسخه ی نمایشی: حفاظت از تزریق بهار SQL Demo: Spring SQL Injection Protection

  • مروری بر تزریق فرمان Command Injection Overview

  • فرمان تزریق در بهار Command Injection in Spring

  • نسخه ی نمایشی: حفاظت از تزریق فرمان فنری Demo: Spring Command Injection Protection

A04 - طراحی ناامن A04 - Insecure Design

  • معرفی Introduction

  • طراحی ناامن چیست؟ What Is Insecure Design?

  • اصول طراحی امن Secure Design Principles

  • ادغام طراحی ایمن در چرخه عمر توسعه نرم افزار Integrating Secure Design into the Software Development Lifecycle

  • شناسایی الزامات امنیتی Identifying Security Requirements

  • انتخاب یک چارچوب امنیتی Choosing a Security Framework

  • مقدمه مدلسازی تهدید Threat Modeling Introduction

  • فرآیند مدلسازی تهدید Threat Modeling Process

  • استفاده از مدل سازی تهدید Applying Threat Modeling

  • مروری بر روش شناسی استراید STRIDE Methodology Overview

  • تعریف داستان های کاربری امنیتی Defining Security User Stories

  • آزادسازی و عملیات ایمن Secure Releasing and Operations

A05 - پیکربندی نادرست امنیتی در برنامه های کاربردی Spring A05 - Security Misconfiguration in Spring Applications

  • معرفی Introduction

  • پیکربندی نادرست امنیتی چیست؟ What Is Security Misconfiguration?

  • پیاده سازی تصادفی پیکربندی ناامن Accidentally Deploying Insecure Configuration

  • نمای کلی بهار Spring Profiles Overview

  • نسخه ی نمایشی: فعال کردن تنظیمات بهار با نمایه ها Demo: Enabling Spring Configurations with Profiles

  • پیکربندی منابع دارایی با نمایه ها Configuring Property Sources with Profiles

  • نسخه ی نمایشی: پیکربندی صفحات خطا با استفاده از پروفایل ها و فایل های ویژگی Demo: Configuring Error Pages Using Profiles and Property Files

  • بررسی اجمالی حفاظت CSRF CSRF Protection Overview

  • نسخه ی نمایشی: حفاظت CSRF با ویژگی کوکی SameSite Demo: CSRF Protection With SameSite Cookie Attribute

  • الگوی توکن حفاظتی CSRF CSRF Protection Token Pattern

  • نسخه ی نمایشی: الگوی توکن حفاظتی CSRF Demo: CSRF Protection Token Pattern

A06 - مولفه های آسیب پذیر و قدیمی A06 - Vulnerable and Outdated Components

  • معرفی Introduction

  • بررسی اجمالی OWASP A06 OWASP A06 Overview

  • بررسی اجمالی CVES CVES Overview

  • نمای کلی NVD NVD Overview

  • OWASP Dependency Checker مقدمه OWASP Dependency Checker Introduction

  • نسخه ی نمایشی: بررسی وابستگی OWASP Demo: OWASP Dependency Check

  • خلاصه و بهترین تمرین Summary and Best Practice

A07 - مبارزه با شکست‌های شناسایی و احراز هویت در چارچوب Spring A07 - Combatting Identification and Authentication Failures in Spring Framework

  • معرفی Introduction

  • بررسی اجمالی A07 A07 Overview

  • مروری بر دستورالعمل های رمز عبور NIST NIST Password Guidelines Overview

  • نسخه ی نمایشی: به روز رسانی سیاست های گذرواژه قدیمی Demo: Updating Outdated Password Policies

  • بررسی اجمالی Have I Been Pwned Have I Been Pwned Overview

  • امنیت Spring Have I Been Pwned Integration Spring Security Have I Been Pwned Integration

  • نسخه ی نمایشی: استفاده از HIBP در ثبت حساب Demo: Using HIBP on Account Registration

  • زمان استفاده از HIBP When to Use HIBP

  • نسخه ی نمایشی: استفاده از HIBP در ورود Demo: Using HIBP on Login

  • توصیه های قفل کردن حساب NIST NIST Account Locking Recommendations

  • نسخه ی نمایشی: قفل موقت حساب Demo: Temporary Account Locking

A07 - احراز هویت چند عاملی در چارچوب Spring A07 - Multifactor Authentication in Spring Framework

  • معرفی Introduction

  • چرا احراز هویت چند عاملی؟ Why Multi-factor Authentication?

  • بررسی اجمالی احراز هویت چند عاملی Multi-factor Authentication Overview

  • بررسی اجمالی احراز هویت چند عاملی در نسخه ی نمایشی بهار Multi-factor Authentication in Spring Demo Overview

  • نسخه ی نمایشی: MFA قسمت 1: تغییر مسیر به صفحه OTP در هنگام ورود Demo: MFA Part 1: Redirecting to the OTP Page on Login

  • نسخه ی نمایشی: MFA قسمت 2: تنظیم یک نقش تا حدی تایید شده و فیلتر تغییر مسیر Demo: MFA Part 2: Setting a Partially Authenticated Role and Redirect Filter

  • نسخه ی نمایشی: MFA قسمت 3: اطمینان از دسترسی به صفحه OTP فقط توسط کاربران تأیید شده جزئی Demo: MFA Part 3: Ensuring the OTP Page Is Only Accessible by Partially Authenticated Users

  • نسخه ی نمایشی: MFA قسمت 4: ایجاد و ارسال یک OTP امن Demo: MFA Part 4: Generating and Sending a Secure OTP

  • نسخه ی نمایشی: MFA قسمت 5: اعتبارسنجی OTP ایمن و تکمیل ورود Demo: MFA Part 5: Validating a Secure OTP and Completing Login

  • نسخه ی نمایشی: MFA قسمت 6: محدود کردن تلاش های ورودی OTP و قفل کردن حساب Demo: MFA Part 6: Limiting OTP Input Attempts and Account Locking

  • نسخه ی نمایشی: MFA قسمت 7: نسخه ی نمایشی مرورگر و اجرا Demo: MFA Part 7: Browser Demo and Run-through

  • نمای کلی ویژگی بازنشانی رمز عبور Password Reset Feature Overview

  • نسخه ی نمایشی: بازنشانی رمز عبور Demo: Password Reset

  • خلاصه و بهترین تمرین Summary and Best Practice

A08 - نرم افزار و یکپارچگی داده ها خراب است A08 - Software and Data Integrity Failures

  • معرفی Introduction

  • A02 - مروری بر مشکلات یکپارچگی نرم افزار و داده A02 - Software and Data Integrity Failures Overview

  • حملات MITM MITM Attacks

  • عکس های فوری Maven Maven Snapshots

  • نسخه ی نمایشی: غیرفعال کردن Maven Snapshots Demo: Disabling Maven Snapshots

  • چرا Checksums؟ Why Checksums?

  • نسخه ی نمایشی: Maven Dependency Checksums Demo: Maven Dependency Checksums

  • نمای کلی کلیدهای PGP PGP Keys Overview

  • نسخه ی نمایشی: کلیدهای Maven PGP Demo: Maven PGP Keys

  • توصیه های بیشتر و Outro Further Recommendations and Outro

A09 - خرابی های ثبت و نظارت امنیتی A09 - Security Logging and Monitoring Failures

  • معرفی Introduction

  • مروری بر OWASP A09 Overview of OWASP A09

  • اهمیت ثبت رویدادهای امنیتی The Importance of Logging Security Events

  • نسخه ی نمایشی: ثبت رویدادهای امنیتی در بهار Demo: Logging Security Events in Spring

  • اهمیت غنی‌سازی گزارش‌ها با فراداده‌های زمینه The Importance of Enriching Logs with Context Metadata

  • استفاده از MDC در بهار برای ثبت فراداده های زمینه اضافی Leveraging MDC in Spring to Log Additional Context Metadata

  • نسخه ی نمایشی: افزودن داده های کاربر و درخواست به MDC Demo: Adding User and Request Data to the MDC

  • اجتناب از ثبت اطلاعات حساس با پوشش Avoiding Sensitive Data Logging with Masking

  • نسخه ی نمایشی: پوشاندن داده های حساس Demo: Masking Sensitive Data

  • چرا ثبت داده ها به عنوان JSON - ELK Stack Use Case Why Log Data as JSON - ELK Stack Use Case

  • نسخه ی نمایشی: ثبت JSON ساختاریافته با Elk Stack Demo: Structured JSON Logging with Elk Stack

  • استفاده از Spring Actuator برای نظارت بر معیارهای امنیتی Using Spring Actuator to Monitor Security Metrics

  • نسخه آزمایشی: نظارت بر متریک امنیتی با محرک فنری و پشته ELK Demo: Security Metric Monitoring with Spring Actuator and ELK Stack

  • بهترین روش و خلاصه هشدار حوادث امنیتی Security Incident Alerting Best Practice and Summary

A10 - جعل درخواست سمت سرور (SSRF) در برنامه های کاربردی Spring A10 - Server-Side Request Forgery (SSRF) in Spring Applications

  • معرفی Introduction

  • بررسی اجمالی جعل درخواست سمت سرور Server-side Request Forgery Overview

  • اجازه حفاظت از فهرست Allow List Protection

  • استفاده از پروکسی Hoverfly برای آزمایش Leveraging a Hoverfly Proxy for Testing

  • نسخه ی نمایشی: اجازه حفاظت از فهرست Demo: Allow List Protection

  • دور زدن لیست های مجاز با تغییر مسیرها Bypassing Allow Lists With Redirects

  • نسخه ی نمایشی: محافظت در برابر تغییر مسیرها Demo: Protecting Against Redirects

  • بهره برداری از ورودی های غیر بهداشتی Exploiting Unsanitized Input

  • نسخه ی نمایشی: بهره برداری از ورودی غیر بهداشتی Demo: Exploiting Unsanitized Input

  • بهترین تمرین و خلاصه Best Practice and Summary

نمایش نظرات

Pluralsight (پلورال سایت)

Pluralsight یکی از پرطرفدارترین پلتفرم‌های آموزش آنلاین است که به میلیون‌ها کاربر در سراسر جهان کمک می‌کند تا مهارت‌های خود را توسعه دهند و به روز رسانی کنند. این پلتفرم دوره‌های آموزشی در زمینه‌های فناوری اطلاعات، توسعه نرم‌افزار، طراحی وب، مدیریت پروژه، و موضوعات مختلف دیگر را ارائه می‌دهد.

یکی از ویژگی‌های برجسته Pluralsight، محتوای بروز و با کیفیت آموزشی آن است. این پلتفرم با همکاری با توسعه‌دهندگان و کارشناسان معتبر، دوره‌هایی را ارائه می‌دهد که با توجه به تغییرات روزافزون در صنعت فناوری، کاربران را در جریان آخرین مفاهیم و تکنولوژی‌ها نگه می‌دارد. این امر به کاربران این اطمینان را می‌دهد که دوره‌هایی که در Pluralsight می‌پذیرند، با جدیدترین دانش‌ها و تجارب به روز شده‌اند.

آموزش کدنویسی ایمن در چارچوب Spring
جزییات دوره
7h 23m
156
Pluralsight (پلورال سایت) Pluralsight (پلورال سایت)
(آخرین آپدیت)
از 5
دارد
دارد
دارد
Andrew Morgan
جهت دریافت آخرین اخبار و آپدیت ها در کانال تلگرام عضو شوید.

Google Chrome Browser

Internet Download Manager

Pot Player

Winrar

Andrew Morgan Andrew Morgan

اندرو یک مشاور مستقل با تخصص متقابل در زمینه طراحی ، توسعه و استقرار سیستم های نرم افزاری سطح سازمانی است. آندرو با کار با مشتری های مختلف ، در معرض انبوهی از فناوری های مختلف قرار دارد که اخیراً در زمینه خدمات ریز خدمات جاوا و تحویل مداوم تخصص دارد. اندرو به طور فعال در جامعه گسترده شرکت می کند ، در کنفرانس های بین المللی سخنرانی می کند ، دوره های آموزشی ارائه می دهد ، به منبع باز کمک می کند و برای InfoQ می نویسد.