دسترسی سریع:

مسیر:

صفحه اصلی

لطفا جهت اطلاع از آخرین دوره ها و اخبار سایت در کانال تلگرام عضو شوید.

آموزش امنیت وب: حملات تزریقی با جاوا و بوت بهار

Web security: Injection Attacks with Java & Spring Boot

نکته: آخرین آپدیت رو دریافت میکنید حتی اگر این محتوا بروز نباشد.

نمونه ویدیوها: (صرفا برای مشاهده نمونه ویدیو، ممکن هست نیاز به شکن داشته باشید.)

توضیحات دوره: هک اخلاقی، برنامه وب و امنیت فنری - حملات تزریق اصلی با تزریق NoSQL، LDAP، LOG، CSV و SQL هک اخلاقی با حملات تزریق امنیت وب کد نویسی ایمن تزریق SQL با PostgreSQL تزریق NoSQL با تزریق MongoDB LDAP Injection Open با MongoDB LDAP Injection با Open Injection احراز هویت فرم ورود به سیستم Spring Data JPA Spring Data MongoDB Spring LDAP Spring Validation پیش نیازها:آشنایی با جاوا دانش پایه Spring Framework دانش اولیه SQL دانش پایه توسعه برنامه های کاربردی وب

آیا شما یک توسعه دهنده وب جاوا هستید و می خواهید کد ایمن بنویسید؟ آیا می خواهید هک اخلاقی و امنیت برنامه های وب را یاد بگیرید؟ با استفاده از این دوره آموزشی حملات تزریقی، یادگیری امنیت وب را با استفاده از یکی از آسیب پذیری های برتر لیست 10 برتر OWASP آغاز خواهید کرد. حمله تزریقی هنوز در فهرست 3 حمله برتر در 10 حمله برتر OWASP قرار دارد و برای توسعه برنامه های کاربردی وب ایمن جلوگیری از حملات تزریقی مهم است.

من به عنوان بخشی از تیم‌های امنیتی آبی و قرمز، دانش عملی دارم و اینجا هستم تا به شما کمک کنم تا آسیب‌پذیری تزریق را با جزئیات بیاموزید.

در این دوره، شما بر انواع مختلف حملات تزریق تمرکز خواهید کرد؛

تزریق SQL
تزریق NoSQL
تزریق LDAP
تزریق LOG
تزریق CSV

هک اخلاقی و امنیت برنامه های کاربردی وب دو موضوع مهم حوزه امنیت سایبری هستند و داشتن دانش عملی در مورد Injections شما را قادر می سازد تا مفاهیم امنیتی را بهتر درک کنید و شروعی سریع داشته باشید.

در این دوره شما از اصل دفاع در عمق پیروی می‌کنید و راه‌حل‌های متعددی را برای هر آسیب‌پذیری اعمال می‌کنید تا برنامه وب را در چندین لایه ایمن کنید.

شما یک رویکرد عملی را دنبال خواهید کرد. شما نه تنها یاد خواهید گرفت که چگونه از یک برنامه با استفاده از انواع مختلف حملات تزریقی سوء استفاده کنید، بلکه برنامه های آسیب پذیر را از ابتدا توسعه دهید که در آن یک ماژول ورود به وب مشترک با Thymeleaf و Bootstrap برای یک front-end اولیه، با فرم امنیتی Spring خواهید داشت. مجوز احراز هویت ورود به سیستم، و با برنامه های جداگانه برای تزریق SQL، NoSQL و LDAP.

برنامه‌ها با استفاده از جاوا، Spring boot و Spring Data به همراه پرکاربردترین منابع داده مانند PostgreSQL برای تزریق SQL، MongoDB برای تزریق NoSQL و OpenLDAP برای تزریق LDAP توسعه خواهند یافت.

در هر بخش وجود خواهد داشت؛

توسعه برنامه وب آسیب پذیر با استفاده از جاوا، Spring boot و Spring Security
هک برنامه با بارهای مختلف حمله و با نمونه های هک اخلاقی
مراحل حفاظت و پیاده سازی برای جلوگیری از حملات تزریق

در پایان دوره، انواع مختلف آسیب‌پذیری‌های تزریق را درک می‌کنید، حملات تزریقی را علیه برنامه‌های وب آسیب‌پذیری که توسعه داده‌اید انجام می‌دهید، و یاد می‌گیرید که چگونه با استفاده از تکنیک‌های مختلف از برنامه‌های خود در برابر حملات تزریق محافظت کنید،

اعتبار سنجی و پاکسازی با استفاده از رویکرد لیست سفید
پرس و جوهای پارامتری شده با عبارات آماده شده
خروجی در حال فرار
استفاده از کتابخانه های مطمئن ایمن
در رسیدگی و ثبت خطا
روش های عمومی کدگذاری

اگر می خواهید از توسعه صرفنظر کنید و فقط برنامه ها را هک کنید، می توانید به سخنرانی های تزریقی بروید و کد منبع ارائه شده در بخش منابع آن سخنرانی را دانلود کنید. کدهای منبع در سخنرانی 20 (تزریق SQL)، سخنرانی 38 (تزریق NoSQL)، سخنرانی 51 (تزریق LDAP)، سخنرانی 60 (تزریق LOG) و سخنرانی 74 (تزریق CSV) قرار دارند. توجه داشته باشید که همچنان باید PostgreSQL را برای تزریق SQL، MongoDB برای تزریق NoSQL و ظرف Docker OpenLDAP را برای تزریق LDAP نصب کنید. می‌توانید نحوه نصب و پیکربندی این منابع داده را در سخنرانی‌های ابتدایی هر بخش تزریق ببینید.

برای اطلاعات بیشتر در مورد پیشرفت این دوره، می توانید ویدیوی مقدماتی و درس های رایگان را بررسی کنید و اگر تصمیم به ثبت نام در این دوره دارید، همیشه می توانید در مورد مفاهیم و جزئیات پیاده سازی در Q/بپرسید و بحث کنید. بخش A و پیام ها من شما را از ابتدا تا انتها راهنمایی می کنم تا به شما کمک کنم دوره را با موفقیت به پایان برسانید و دانش و تجربه هر چه بیشتر از این دوره به دست آورید.

سرفصل ها و درس ها

معرفی Introduction

چرا اصول کدنویسی امن و امنیت وب را یاد بگیریم؟ Why to learn Secure coding principles & Web security?
توسعه یک اپلیکیشن امن Developing a secure application
اصول کدگذاری امن Secure coding principles
ساختار دوره Structure of the course
راه اندازی محیط Setting up the environment

ایجاد ماژول مشترک ورود به وب با امنیت Spring Creating the common web login module with Spring security

افزودن پایه pom.xml با وابستگی های اساسی maven Adding the base pom.xml with basic maven dependencies
ایجاد ماژول ورود مشترک با وابستگی ها، قالب های thymeleaf و بوت استرپ Creating common login module with dependencies, thymeleaf templates & bootstrap
ایجاد ساختار بسته و افزودن رابط Creating the package structure and adding interfaces
افزودن اطلاعات ارائه دهنده احراز هویت و کاربر برای سفارشی کردن احراز هویت فرم Adding authentication provider and user details to customise form authentication
افزودن پیکربندی امنیتی وب برای احراز هویت ورود به فرم امنیتی Spring Adding web security configuration for Spring security form login authentication
احراز هویت ورود فرم امنیتی بهار Spring security form login authentication
افزودن نقاط پایانی API Adding API endpoints
اضافه کردن کنترل کننده خطای سفارشی Adding Custom Error Controller

تزریق SQL SQL Injection

مقدمه ای بر تزریقات Introduction to Injections
توضیح تزریق SQL Explaining SQL injection
جلوگیری از حملات تزریق SQL Preventing SQL injection attacks
ایجاد برنامه SQL Injection با وابستگی ها و پیکربندی Creating SQL Injection application with dependencies and configuration
افزودن فایل‌های init PostgreSQL، بسته‌ها و اجرای اعتبارسنجی Adding PostgreSQL init files, packages and validator implementation
پیاده سازی نهادهای JPA Data Spring Implementing Spring Data JPA entities
افزودن رابط های مخزن Spring Data JPA Adding Spring Data JPA repository interfaces
رابط های مخزن JPA JPA repository interfaces
اجرای مخزن Spring Data JPA Implementing Spring Data JPA repository
پیاده سازی مخزن سفارشی JPA Custom JPA repository implementation
افزودن SQL injection اجرای سرویس جزئیات کاربر Adding SQL injection user detail service implementation
امنیت بهار Spring security
پیاده سازی رابط کاربری سرویس Implementing user service interface
هک برنامه SQL Injection با استفاده از فرم ورود با Http Post - قسمت 1 Hacking SQL Injection application using login form with Http Post - Part 1
هک برنامه SQL Injection با استفاده از فرم ورود با Http Post - قسمت 2 Hacking SQL Injection application using login form with Http Post - Part 2
بار تزریق SQL مثال 1 SQL injection payload example 1
بار تزریق SQL مثال 2 SQL injection payload example 2
هک برنامه SQL Injection با Http Get - قسمت 1 Hacking SQL Injection application with Http Get - Part 1
هک اپلیکیشن SQL Injection با Http Get - قسمت 2 Hacking SQL Injection application with Http Get - Part 2
هک برنامه SQL Injection با Http Get - قسمت 3 - با استفاده از Burp Suite Hacking SQL Injection application with Http Get - Part 3 - Using Burp Suite
بازگرداندن اطلاعات خاص PostgreSQL با استفاده از تزریق SQL Returning PostgreSQL specific information using SQL injection
گسترش Http دریافت آسیب پذیری برای خواندن فایل های سیستم - قسمت 1 Extending Http Get vulnerability to read system files - Part 1
خواندن محتوای فایل در PostgreSQL Reading file content in PostgreSQL
گسترش Http دریافت آسیب پذیری برای خواندن فایل های سیستم - قسمت 2 Extending Http Get vulnerability to read system files - Part 2
جلوگیری از تزریق Sql: اعتبار سنجی و پاکسازی Preventing Sql injection: Validation and Sanitisation
اعتبار سنجی ورودی Input validation
جلوگیری از تزریق Sql: با استفاده از دستورات آماده شده Preventing Sql injection: Using Prepared statements
جلوگیری از تزریق SQL Preventing SQL injection
جلوگیری از تزریق Sql: خلاصه Preventing Sql injection: Summary
یک حمله نهایی با استفاده از یک تابع SQL آسیب پذیر A final attack using a vulnerable SQL function

NoSQL Injection NoSQL Injection

توضیح تزریق NoSQL Explaining NoSQL injection
NoSQL Injection NoSQL Injection
اضافه کردن ماژول تزریق NoSQL با وابستگی ها با استفاده از MongoDB Adding NoSQL injection module with dependencies using MongoDB
افزودن پیکربندی و فایل داده init Adding configuration and init data file
افزودن بسته ها و اجرای اعتبارسنجی Adding packages and validator implementation
پیاده سازی پیکربندی mongoDB Implementing mongoDB configuration
راه اندازی اسناد mongoDB Initializing mongoDB documents
افزودن رابط های مخزن Adding repository interfaces
پیاده سازی مخزن و افزودن کلاس های لایه سرویس Implementing repository and adding service layer classes
هک برنامه تزریق NoSQL: با استفاده از فرم ورود Hacking NoSQL injection application: Using login form
تزریق NoSQL با استفاده از تابع Where در mongoDB با جاوا اسکریپت NoSQL injection using where function in mongoDB with javascript
هک تزریق NoSQL: استفاده از نقطه پایانی اطلاعات کاربر با Regex Hacking NoSQL injection: Using user info endpoint with Regex
با استفاده از MongoDB Regex Using MongoDB Regex
جلوگیری از تزریق NoSQL: اعتبار سنجی و پاکسازی Preventing NoSQL injection: Validation and sanitisation
جلوگیری از تزریق NoSQL: با استفاده از معیارهای Api Preventing NoSQL injection: Using criteria Api
جلوگیری از تزریق NoSQL: با استفاده از مخزن JPA Preventing NoSQL injection: Using JPA repository
الگوی داده بهار در مقابل مخزن Spring data Template vs Repository

تزریق LDAP LDAP Injection

توضیح تزریق LDAP Explaining LDAP injection
افزودن ماژول تزریق LDAP با فایل طرحواره LDAP Adding LDAP injection module with LDAP schema file
افزودن وابستگی‌ها، پیکربندی و فایل راه‌اندازی برای اولیه‌سازی طرحواره LDAP Adding dependencies,configuration and startup file to initialisatize LDAP schema
ایجاد بسته‌ها و افزودن کلاس شروع راه‌انداز Spring برای مقداردهی اولیه داده‌های LDAP Creating packages and adding Spring boot starter class to initialise LDAP data
ایجاد موجودیت و پیاده سازی اعتبار سنجی، و رابط های مخزن Creating entity and validation implementations, and repository interfaces
افزودن کلاس کمکی LDAP برای عملیات LDAP Adding LDAP helper class for LDAP operations
تکمیل اجرای مخزن کاربر Completing the user repository implementation
تکمیل مخزن نقش کاربر و اجرای سرویس Completing the user role repository and service implementation
هک تزریق LDAP - قسمت 1 Hacking LDAP injection - Part 1
پرس و جو LDAP LDAP Query
هک تزریق LDAP - قسمت 2 Hacking LDAP injection - Part 2
جلوگیری از تزریق LDAP: اعتبارسنجی و ضدعفونی کردن Preventing LDAP injection: Validation and sanitisation
جلوگیری از تزریق LDAP: استفاده از کتابخانه های امن Preventing LDAP injection: Using secure libraries
کتابخانه LDAP بهار Spring LDAP library

LOG Injection LOG Injection

توضیح تزریق LOG Explaining LOG injection
افزودن نقطه پایانی جدید برای استفاده در حملات تزریق LOG Adding a new endpoint to use in LOG injection attacks
افزودن نقطه پایانی داده های گزارش و الگوی thymeleaf برای مشاهده گزارش ها توسط کاربر مدیر Adding log data endpoint and thymeleaf template to view logs by admin user
افزودن پیکربندی Logback Adding Logback configuration
ایجاد اپلیکیشن مهاجم Creating the attacker application
هک تزریق LOG با Line Feed Hacking LOG injection with Line Feed
هک تزریق LOG با Carriage Return Hacking LOG injection with Carriage Return
خروجی تزریق LOG LOG injection output
تزریق LOG هک: حمله XSS - قسمت 1 Hacking LOG injection: XSS attack - Part 1
هک تزریق LOG: حمله XSS - قسمت 2 Hacking LOG injection: XSS attack - Part 2
حمله XSS با تزریق LOG XSS attack with LOG injection
جلوگیری از تزریق LOG: اعتبارسنجی و استفاده از حفاظت از کتابخانه های قابل اعتماد Preventing LOG injection: Validation and using trusted libraries protections
جلوگیری از تزریق LOG: حملات XSS Preventing LOG injection: XSS attacks
جلوگیری از تزریق LOG Preventing LOG injection

تزریق CSV CSV Injection

توضیح تزریق CSV Explaining CSV injection
افزودن رابط های جدید Adding new interfaces
افزودن روش‌های Api جزئیات کاربر برای تزریق CSV Adding user detail Api methods for CSV injection
افزودن جزئیات کاربر صادراتی روش Api برای تزریق CSV Adding export user details Api method for CSV injection
افزودن کلاس های پیاده سازی دسترسی به داده ها Adding data access implementation classes
پیاده سازی سرویس جزئیات کاربر Implementing user detail service
اجرای سرویس اکسل ژنراتور Implementing excel generator service
نقطه پایانی جدید در وب سایت مهاجم A new endpoint on attacker web site
هک تزریق CSV با استفاده از فرمول اکسل Hacking CSV injection using excel formula
CSV/تزریق فرمول CSV/Formula Injection
جلوگیری از تزریق CSV - قسمت 1 Preventing CSV injection - Part 1
اعتبار سنجی سفارشی بهار با استفاده از حاشیه نویسی اعتبارسنجی Spring custom validation using validation annotation
جلوگیری از تزریق CSV - قسمت 2 Preventing CSV injection - Part 2
استفاده از حاشیه نویسی اعتبار سنجی Spring Using Spring validation annotation

برای ارسال نظر ثبت نام کنید.

نمایش نظرات

آموزش امنیت وب: حملات تزریقی با جاوا و بوت بهار

جزییات دوره

زمان دوره: 8.5 hours

تعداد ویدیو ها: 76

شرکت: Udemy (یودمی)

تاریخ انتشار مرجع: (آخرین آپدیت)

ثبت نام مرجع : 1,897

امتیاز مرجع: 4.5 از 5

فایل تمرین: دارد

زیرنویس زبان اصلی: دارد

زیرنویس فارسی: (توسط هوش مصنوعی) دارد

مدرس: Ali Gelenler EA Algorithm

لینک کوتاه این دوره

https://donyad.com/d/cc8e51

جهت دریافت آخرین اخبار و آپدیت ها در کانال تلگرام عضو شوید.

نرم افزارهای مورد نیاز

EA Algorithm

آموزش و مشاوره فناوری اطلاعات

دنیاد

آموزش امنیت وب: حملات تزریقی با جاوا و بوت بهار

Web security: Injection Attacks with Java & Spring Boot

معرفی Introduction

چرا اصول کدنویسی امن و امنیت وب را یاد بگیریم؟ Why to learn Secure coding principles & Web security?

توسعه یک اپلیکیشن امن Developing a secure application

اصول کدگذاری امن Secure coding principles

ساختار دوره Structure of the course

راه اندازی محیط Setting up the environment

ایجاد ماژول مشترک ورود به وب با امنیت Spring Creating the common web login module with Spring security

افزودن پایه pom.xml با وابستگی های اساسی maven Adding the base pom.xml with basic maven dependencies

ایجاد ماژول ورود مشترک با وابستگی ها، قالب های thymeleaf و بوت استرپ Creating common login module with dependencies, thymeleaf templates & bootstrap

ایجاد ساختار بسته و افزودن رابط Creating the package structure and adding interfaces

افزودن اطلاعات ارائه دهنده احراز هویت و کاربر برای سفارشی کردن احراز هویت فرم Adding authentication provider and user details to customise form authentication

افزودن پیکربندی امنیتی وب برای احراز هویت ورود به فرم امنیتی Spring Adding web security configuration for Spring security form login authentication

احراز هویت ورود فرم امنیتی بهار Spring security form login authentication

افزودن نقاط پایانی API Adding API endpoints

اضافه کردن کنترل کننده خطای سفارشی Adding Custom Error Controller

تزریق SQL SQL Injection

مقدمه ای بر تزریقات Introduction to Injections

توضیح تزریق SQL Explaining SQL injection

جلوگیری از حملات تزریق SQL Preventing SQL injection attacks

ایجاد برنامه SQL Injection با وابستگی ها و پیکربندی Creating SQL Injection application with dependencies and configuration

افزودن فایل‌های init PostgreSQL، بسته‌ها و اجرای اعتبارسنجی Adding PostgreSQL init files, packages and validator implementation

پیاده سازی نهادهای JPA Data Spring Implementing Spring Data JPA entities

افزودن رابط های مخزن Spring Data JPA Adding Spring Data JPA repository interfaces

رابط های مخزن JPA JPA repository interfaces

اجرای مخزن Spring Data JPA Implementing Spring Data JPA repository

پیاده سازی مخزن سفارشی JPA Custom JPA repository implementation

افزودن SQL injection اجرای سرویس جزئیات کاربر Adding SQL injection user detail service implementation

امنیت بهار Spring security

پیاده سازی رابط کاربری سرویس Implementing user service interface

هک برنامه SQL Injection با استفاده از فرم ورود با Http Post - قسمت 1 Hacking SQL Injection application using login form with Http Post - Part 1

هک برنامه SQL Injection با استفاده از فرم ورود با Http Post - قسمت 2 Hacking SQL Injection application using login form with Http Post - Part 2

بار تزریق SQL مثال 1 SQL injection payload example 1

بار تزریق SQL مثال 2 SQL injection payload example 2

هک برنامه SQL Injection با Http Get - قسمت 1 Hacking SQL Injection application with Http Get - Part 1

هک اپلیکیشن SQL Injection با Http Get - قسمت 2 Hacking SQL Injection application with Http Get - Part 2

هک برنامه SQL Injection با Http Get - قسمت 3 - با استفاده از Burp Suite Hacking SQL Injection application with Http Get - Part 3 - Using Burp Suite

بازگرداندن اطلاعات خاص PostgreSQL با استفاده از تزریق SQL Returning PostgreSQL specific information using SQL injection

گسترش Http دریافت آسیب پذیری برای خواندن فایل های سیستم - قسمت 1 Extending Http Get vulnerability to read system files - Part 1

خواندن محتوای فایل در PostgreSQL Reading file content in PostgreSQL

گسترش Http دریافت آسیب پذیری برای خواندن فایل های سیستم - قسمت 2 Extending Http Get vulnerability to read system files - Part 2

جلوگیری از تزریق Sql: اعتبار سنجی و پاکسازی Preventing Sql injection: Validation and Sanitisation

اعتبار سنجی ورودی Input validation

جلوگیری از تزریق Sql: با استفاده از دستورات آماده شده Preventing Sql injection: Using Prepared statements

جلوگیری از تزریق SQL Preventing SQL injection

جلوگیری از تزریق Sql: خلاصه Preventing Sql injection: Summary

یک حمله نهایی با استفاده از یک تابع SQL آسیب پذیر A final attack using a vulnerable SQL function

NoSQL Injection NoSQL Injection

توضیح تزریق NoSQL Explaining NoSQL injection

NoSQL Injection NoSQL Injection

اضافه کردن ماژول تزریق NoSQL با وابستگی ها با استفاده از MongoDB Adding NoSQL injection module with dependencies using MongoDB

افزودن پیکربندی و فایل داده init Adding configuration and init data file

افزودن بسته ها و اجرای اعتبارسنجی Adding packages and validator implementation

پیاده سازی پیکربندی mongoDB Implementing mongoDB configuration

راه اندازی اسناد mongoDB Initializing mongoDB documents

افزودن رابط های مخزن Adding repository interfaces

پیاده سازی مخزن و افزودن کلاس های لایه سرویس Implementing repository and adding service layer classes

هک برنامه تزریق NoSQL: با استفاده از فرم ورود Hacking NoSQL injection application: Using login form

تزریق NoSQL با استفاده از تابع Where در mongoDB با جاوا اسکریپت NoSQL injection using where function in mongoDB with javascript

هک تزریق NoSQL: استفاده از نقطه پایانی اطلاعات کاربر با Regex Hacking NoSQL injection: Using user info endpoint with Regex

با استفاده از MongoDB Regex Using MongoDB Regex

جلوگیری از تزریق NoSQL: اعتبار سنجی و پاکسازی Preventing NoSQL injection: Validation and sanitisation

جلوگیری از تزریق NoSQL: با استفاده از معیارهای Api Preventing NoSQL injection: Using criteria Api

جلوگیری از تزریق NoSQL: با استفاده از مخزن JPA Preventing NoSQL injection: Using JPA repository

الگوی داده بهار در مقابل مخزن Spring data Template vs Repository

تزریق LDAP LDAP Injection

توضیح تزریق LDAP Explaining LDAP injection

افزودن ماژول تزریق LDAP با فایل طرحواره LDAP Adding LDAP injection module with LDAP schema file

افزودن وابستگی‌ها، پیکربندی و فایل راه‌اندازی برای اولیه‌سازی طرحواره LDAP Adding dependencies,configuration and startup file to initialisatize LDAP schema

ایجاد بسته‌ها و افزودن کلاس شروع راه‌انداز Spring برای مقداردهی اولیه داده‌های LDAP Creating packages and adding Spring boot starter class to initialise LDAP data

ایجاد موجودیت و پیاده سازی اعتبار سنجی، و رابط های مخزن Creating entity and validation implementations, and repository interfaces

افزودن کلاس کمکی LDAP برای عملیات LDAP Adding LDAP helper class for LDAP operations

تکمیل اجرای مخزن کاربر Completing the user repository implementation

تکمیل مخزن نقش کاربر و اجرای سرویس Completing the user role repository and service implementation

هک تزریق LDAP - قسمت 1 Hacking LDAP injection - Part 1

پرس و جو LDAP LDAP Query

هک تزریق LDAP - قسمت 2 Hacking LDAP injection - Part 2

جلوگیری از تزریق LDAP: اعتبارسنجی و ضدعفونی کردن Preventing LDAP injection: Validation and sanitisation

جلوگیری از تزریق LDAP: استفاده از کتابخانه های امن Preventing LDAP injection: Using secure libraries