آموزش کدنویسی ایمن در چارچوب Spring

سرفصل ها و درس ها

بررسی اجمالی دوره Course Overview

• بررسی اجمالی دوره Course Overview

A01 - بردارهای حمله کنترل دسترسی شکسته معمول و کاهش در برنامه های فنری A01 - Common Broken Access Control Attack Vectors and Mitigation in Spring Applications

• معرفی Introduction

• بررسی اجمالی امنیت بهار Spring Security Overview

• بررسی اجمالی آزمون دوره Course Testing Overview

• بررسی اجمالی 10 برتر OWASP OWASP Top 10 Overview

• A01 - کنترل دسترسی شکسته A01 - Broken Access Control

• مرور اجباری و رد کردن به صورت پیش فرض Force Browsing and Deny by Default

• کنترل دسترسی با فیلتر مجوز امنیتی Spring Access Control with Spring Security Authorization Filter

• نسخه ی نمایشی: پذیرش انکار به صورت پیش فرض Demo: Adopting Deny by Default

• مرور اجباری و مراجع مستقیم شی Force Browsing and Direct Object References

• ارجاعات غیرمستقیم شی در بهار Indirect Object References in Spring

• نسخه ی نمایشی: مراجع غیرمستقیم شی Demo: Indirect Object References

• Outro Outro

A01 - مدیریت کنترل دسترسی با نقش ها A01 - Managing Access Control with Roles

• معرفی Introduction

• معرفی نقش ها Introducing Roles

• نقش های اجرایی در بهار Implementing Roles in Spring

• نسخه ی نمایشی: دسترسی مبتنی بر نقش Demo: Role-based Access

• دسترسی مبتنی بر نقش با تست پارامتری Role Based Access with Parameterized Testing

• نسخه ی نمایشی: دسترسی مبتنی بر نقش با تست پارامتری Demo: Role Based Access with Parameterized Testing

• کنترل دسترسی چند لایه Multi-layered Access Control

• نسخه ی نمایشی: کنترل دسترسی چند لایه Demo: Multi-layered Access Control

A01 - مدیریت کنترل دسترسی با مقامات و سلسله مراتب نقش A01 - Managing Access Control with Authorities and Role Hierarchies

• معرفی Introduction

• بررسی اجمالی مقامات Authorities Overview

• نسخه ی نمایشی: مقامات Demo: Authorities

• بررسی اجمالی سلسله مراتب نقش Role Hierarchy Overview

• نسخه ی نمایشی: سلسله مراتب نقش Demo: Role Hierarchies

A01 - دفاع در عمق با امنیت و مجوزهای سطح روش A01 - Defence-in-depth with Method-level Security and Permissions

• معرفی Introduction

• دفاع در عمق چیست؟ What Is Defence-in-depth?

• بررسی های مجوز فراخوانی روش ارسال Post Method Invocation Authorization Checks

• نسخه ی نمایشی: با استفاده از @PostAuthorize و @PostFilter Annotations Demo: Using the @PostAuthorize and @PostFilter Annotations

• بررسی های مجوز پیش از فراخوانی روش Pre Method Invocation Authorization Checks

• نسخه ی نمایشی: با استفاده از @PreAuthorize Annotation Demo: Using the @PreAuthorize Annotation

• اتخاذ یک سرویس مجوزهای متمرکز Adopting a Centralized Permissions Service

• نسخه ی نمایشی: سرویس مجوزهای متمرکز Demo: Centralized Permissions Service

• اهمیت بررسی های کنترل دسترسی Importance of Access Control Reviews

A02 - خرابی های رمزنگاری در انتقال A02 - Cryptographic Failures in Transit

• معرفی Introduction

• نمای کلی OWASP A02 Overview of OWASP A02

• بررسی اجمالی حمله MITM MITM Attack Overview

• نمای کلی HTTPS HTTPS Overview

• نمای کلی گواهی TLS TLS Certificate Overview

• Java Keytool Quick Start Java Keytool Quickstart

• نسخه ی نمایشی: ایجاد گواهی امضا شده توسط خود Demo: Creating a Self-signed Certificate

• HTTPS در بهار با بسته‌های SSL HTTPS in Spring with SSL Bundles

• نسخه آزمایشی: HTTPS در بهار با بسته‌های SSL Demo: HTTPS in Spring with SSL Bundles

• از HTTP استفاده نکنید Don't Use HTTP

• TLS متقابل در بهار Mutual TLS in Spring

• نسخه ی نمایشی: TLS متقابل در بهار Demo: Mutual TLS in Spring

• خلاصه Summary

A02 - خطاهای رمزنگاری با رمزهای عبور A02 - Cryptographic Failures with Passwords

• معرفی Introduction

• متن ساده در مقابل هش کردن Plaintext vs. Hashing

• بردارهای حمله رمز عبور هش شده ناامن Insecurely Hashed Password Attack Vectors

• نسخه ی نمایشی: کاوش بردارهای حمله رمز عبور هش شده ناامن Demo: Exploring Insecurely Hashed Password Attack Vectors

• بررسی اجمالی انتزاع رمزگذار رمز عبور امنیتی Spring Spring Security Password Encoder Abstraction Overview

• Spring Security مروری بر رمزگذار رمز عبور BCrypt Spring Security BCrypt Password Encoder Overview

• نسخه ی نمایشی: Spring Security رمزگذار رمز عبور BCrypt Demo: Spring Security BCrypt Password Encoder

• بررسی اجمالی رمزگذار گذرواژه واگذاری امنیت بهار Spring Security Delegating Password Encoder Overview

• نسخه ی نمایشی: بهار امنیت تفویض گذرواژه مرور کلی رمزگذار Demo: Spring Security Delegating Password Encoder Overview

• بررسی اجمالی فاکتور کار BCrypt BCrypt Work Factor Overview

• نسخه ی نمایشی: پیکربندی فاکتور کار در رمزگذارهای رمز عبور Spring Demo: Configuring Work Factor in Spring Password Encoders

• یادگیری بیشتر Further Learning

A03 - آسیب پذیری های تزریق در برنامه های کاربردی Spring A03 - Injection Vulnerabilities in Spring Applications

• معرفی Introduction

• بررسی اجمالی تزریق SQL SQL Injection Overview

• تزریق SQL در بهار SQL Injection in Spring

• نسخه ی نمایشی: حفاظت از تزریق بهار SQL Demo: Spring SQL Injection Protection

• مروری بر تزریق فرمان Command Injection Overview

• فرمان تزریق در بهار Command Injection in Spring

• نسخه ی نمایشی: حفاظت از تزریق فرمان فنری Demo: Spring Command Injection Protection

A04 - طراحی ناامن A04 - Insecure Design

• معرفی Introduction

• طراحی ناامن چیست؟ What Is Insecure Design?

• اصول طراحی امن Secure Design Principles

• ادغام طراحی ایمن در چرخه عمر توسعه نرم افزار Integrating Secure Design into the Software Development Lifecycle

• شناسایی الزامات امنیتی Identifying Security Requirements

• انتخاب یک چارچوب امنیتی Choosing a Security Framework

• مقدمه مدلسازی تهدید Threat Modeling Introduction

• فرآیند مدلسازی تهدید Threat Modeling Process

• استفاده از مدل سازی تهدید Applying Threat Modeling

• مروری بر روش شناسی استراید STRIDE Methodology Overview

• تعریف داستان های کاربری امنیتی Defining Security User Stories

• آزادسازی و عملیات ایمن Secure Releasing and Operations

A05 - پیکربندی نادرست امنیتی در برنامه های کاربردی Spring A05 - Security Misconfiguration in Spring Applications

• معرفی Introduction

• پیکربندی نادرست امنیتی چیست؟ What Is Security Misconfiguration?

• پیاده سازی تصادفی پیکربندی ناامن Accidentally Deploying Insecure Configuration

• نمای کلی بهار Spring Profiles Overview

• نسخه ی نمایشی: فعال کردن تنظیمات بهار با نمایه ها Demo: Enabling Spring Configurations with Profiles

• پیکربندی منابع دارایی با نمایه ها Configuring Property Sources with Profiles

• نسخه ی نمایشی: پیکربندی صفحات خطا با استفاده از پروفایل ها و فایل های ویژگی Demo: Configuring Error Pages Using Profiles and Property Files

• بررسی اجمالی حفاظت CSRF CSRF Protection Overview

• نسخه ی نمایشی: حفاظت CSRF با ویژگی کوکی SameSite Demo: CSRF Protection With SameSite Cookie Attribute

• الگوی توکن حفاظتی CSRF CSRF Protection Token Pattern

• نسخه ی نمایشی: الگوی توکن حفاظتی CSRF Demo: CSRF Protection Token Pattern

A06 - مولفه های آسیب پذیر و قدیمی A06 - Vulnerable and Outdated Components

• معرفی Introduction

• بررسی اجمالی OWASP A06 OWASP A06 Overview

• بررسی اجمالی CVES CVES Overview

• نمای کلی NVD NVD Overview

• OWASP Dependency Checker مقدمه OWASP Dependency Checker Introduction

• نسخه ی نمایشی: بررسی وابستگی OWASP Demo: OWASP Dependency Check

• خلاصه و بهترین تمرین Summary and Best Practice

A07 - مبارزه با شکست‌های شناسایی و احراز هویت در چارچوب Spring A07 - Combatting Identification and Authentication Failures in Spring Framework

• معرفی Introduction

• بررسی اجمالی A07 A07 Overview

• مروری بر دستورالعمل های رمز عبور NIST NIST Password Guidelines Overview

• نسخه ی نمایشی: به روز رسانی سیاست های گذرواژه قدیمی Demo: Updating Outdated Password Policies

• بررسی اجمالی Have I Been Pwned Have I Been Pwned Overview

• امنیت Spring Have I Been Pwned Integration Spring Security Have I Been Pwned Integration

• نسخه ی نمایشی: استفاده از HIBP در ثبت حساب Demo: Using HIBP on Account Registration

• زمان استفاده از HIBP When to Use HIBP

• نسخه ی نمایشی: استفاده از HIBP در ورود Demo: Using HIBP on Login

• توصیه های قفل کردن حساب NIST NIST Account Locking Recommendations

• نسخه ی نمایشی: قفل موقت حساب Demo: Temporary Account Locking

A07 - احراز هویت چند عاملی در چارچوب Spring A07 - Multifactor Authentication in Spring Framework

• معرفی Introduction

• چرا احراز هویت چند عاملی؟ Why Multi-factor Authentication?

• بررسی اجمالی احراز هویت چند عاملی Multi-factor Authentication Overview

• بررسی اجمالی احراز هویت چند عاملی در نسخه ی نمایشی بهار Multi-factor Authentication in Spring Demo Overview

• نسخه ی نمایشی: MFA قسمت 1: تغییر مسیر به صفحه OTP در هنگام ورود Demo: MFA Part 1: Redirecting to the OTP Page on Login

• نسخه ی نمایشی: MFA قسمت 2: تنظیم یک نقش تا حدی تایید شده و فیلتر تغییر مسیر Demo: MFA Part 2: Setting a Partially Authenticated Role and Redirect Filter

• نسخه ی نمایشی: MFA قسمت 3: اطمینان از دسترسی به صفحه OTP فقط توسط کاربران تأیید شده جزئی Demo: MFA Part 3: Ensuring the OTP Page Is Only Accessible by Partially Authenticated Users

• نسخه ی نمایشی: MFA قسمت 4: ایجاد و ارسال یک OTP امن Demo: MFA Part 4: Generating and Sending a Secure OTP

• نسخه ی نمایشی: MFA قسمت 5: اعتبارسنجی OTP ایمن و تکمیل ورود Demo: MFA Part 5: Validating a Secure OTP and Completing Login

• نسخه ی نمایشی: MFA قسمت 6: محدود کردن تلاش های ورودی OTP و قفل کردن حساب Demo: MFA Part 6: Limiting OTP Input Attempts and Account Locking

• نسخه ی نمایشی: MFA قسمت 7: نسخه ی نمایشی مرورگر و اجرا Demo: MFA Part 7: Browser Demo and Run-through

• نمای کلی ویژگی بازنشانی رمز عبور Password Reset Feature Overview

• نسخه ی نمایشی: بازنشانی رمز عبور Demo: Password Reset

• خلاصه و بهترین تمرین Summary and Best Practice

A08 - نرم افزار و یکپارچگی داده ها خراب است A08 - Software and Data Integrity Failures

• معرفی Introduction

• A02 - مروری بر مشکلات یکپارچگی نرم افزار و داده A02 - Software and Data Integrity Failures Overview

• حملات MITM MITM Attacks

• عکس های فوری Maven Maven Snapshots

• نسخه ی نمایشی: غیرفعال کردن Maven Snapshots Demo: Disabling Maven Snapshots

• چرا Checksums؟ Why Checksums?

• نسخه ی نمایشی: Maven Dependency Checksums Demo: Maven Dependency Checksums

• نمای کلی کلیدهای PGP PGP Keys Overview

• نسخه ی نمایشی: کلیدهای Maven PGP Demo: Maven PGP Keys

• توصیه های بیشتر و Outro Further Recommendations and Outro

A09 - خرابی های ثبت و نظارت امنیتی A09 - Security Logging and Monitoring Failures

• معرفی Introduction

• مروری بر OWASP A09 Overview of OWASP A09

• اهمیت ثبت رویدادهای امنیتی The Importance of Logging Security Events

• نسخه ی نمایشی: ثبت رویدادهای امنیتی در بهار Demo: Logging Security Events in Spring

• اهمیت غنی‌سازی گزارش‌ها با فراداده‌های زمینه The Importance of Enriching Logs with Context Metadata

• استفاده از MDC در بهار برای ثبت فراداده های زمینه اضافی Leveraging MDC in Spring to Log Additional Context Metadata

• نسخه ی نمایشی: افزودن داده های کاربر و درخواست به MDC Demo: Adding User and Request Data to the MDC

• اجتناب از ثبت اطلاعات حساس با پوشش Avoiding Sensitive Data Logging with Masking

• نسخه ی نمایشی: پوشاندن داده های حساس Demo: Masking Sensitive Data

• چرا ثبت داده ها به عنوان JSON - ELK Stack Use Case Why Log Data as JSON - ELK Stack Use Case

• نسخه ی نمایشی: ثبت JSON ساختاریافته با Elk Stack Demo: Structured JSON Logging with Elk Stack

• استفاده از Spring Actuator برای نظارت بر معیارهای امنیتی Using Spring Actuator to Monitor Security Metrics

• نسخه آزمایشی: نظارت بر متریک امنیتی با محرک فنری و پشته ELK Demo: Security Metric Monitoring with Spring Actuator and ELK Stack

• بهترین روش و خلاصه هشدار حوادث امنیتی Security Incident Alerting Best Practice and Summary

A10 - جعل درخواست سمت سرور (SSRF) در برنامه های کاربردی Spring A10 - Server-Side Request Forgery (SSRF) in Spring Applications

• معرفی Introduction

• بررسی اجمالی جعل درخواست سمت سرور Server-side Request Forgery Overview

• اجازه حفاظت از فهرست Allow List Protection

• استفاده از پروکسی Hoverfly برای آزمایش Leveraging a Hoverfly Proxy for Testing

• نسخه ی نمایشی: اجازه حفاظت از فهرست Demo: Allow List Protection

• دور زدن لیست های مجاز با تغییر مسیرها Bypassing Allow Lists With Redirects

• نسخه ی نمایشی: محافظت در برابر تغییر مسیرها Demo: Protecting Against Redirects

• بهره برداری از ورودی های غیر بهداشتی Exploiting Unsanitized Input

• نسخه ی نمایشی: بهره برداری از ورودی غیر بهداشتی Demo: Exploiting Unsanitized Input

• بهترین تمرین و خلاصه Best Practice and Summary