آموزش مبانی نرم افزار امن [ویدئو]

سرفصل ها و درس ها

مقدمه دوره Introduction to the Course

• مقدمه ای بر امنیت برنامه ها Introduction to Application Security

• شرایط و تعاریف امنیت برنامه Application Security Terms and Definitions

• اهداف امنیتی برنامه Application Security Goals

• نسخه ی نمایشی OWASP WebGoat OWASP WebGoat Demo

معرفی 10 مورد برتر OWASP و موارد دیگر Introduction to OWASP Top 10 and More Items

• معرفی OWASP Top 10 Introduction to OWASP Top 10

• SANS Top 25 SANS Top 25

• بازیگران تهدید و تعاریف بیشتر Threat Actors and More Definitions

• دفاع در عمق Defense In-Depth

• ابزارهای پروکسی Proxy Tools

• نسخه ی نمایشی Fiddler با JuiceShop Demo of Fiddler with JuiceShop

• امنیت API API Security

به 10 برتر OWASP شیرجه بزنید Dive into the OWASP Top 10

• کنترل دسترسی خراب Broken Access Control

• خرابی های رمزنگاری Cryptographic Failures

• تزریق Injection

• طراحی ناامن Insecure Design

• پیکربندی اشتباه امنیتی Security Misconfiguration

• مولفه های آسیب پذیر و قدیمی Vulnerable and Outdated Components

• خرابی های شناسایی و احراز هویت Identification and Authentication Failures

• نقص نرم افزار و یکپارچگی داده ها Software and Data Integrity Failures

• خرابی های ثبت و مانیتورینگ امنیتی Security Logging and Monitoring Failures

• جعل درخواست سمت سرور Server-Side Request Forgery

دفاع و ابزار Defenses and Tools

• OWASP ZAP (پراکسی حمله Zed) OWASP ZAP (Zed Attack Proxy)

• اجرای اسکن ZAP Running a ZAP Scan

• اسکریپت بین سایتی Cross-Site Scripting

• CSP (خط مشی امنیت محتوا) CSP (Content Security Policy)

• نسخه ی نمایشی CSP CSP Demo

• مدل های امنیتی Security Models

• اسکن آسیب پذیری های OSS با تجزیه و تحلیل ترکیب نرم افزار Scanning for OSS Vulnerabilities with Software Composition Analysis

• SKF (چارچوب دانش امنیتی) SKF (Security Knowledge Framework)

• نسخه ی نمایشی SKF SKF Demo

• نسخه ی نمایشی آزمایشگاه های SKF SKF Labs Demo

• بررسی کد منبع Source Code Review

مدیریت جلسه Session Management

• مقدمه ای بر مدیریت جلسات Introduction to Session Management

• جلسات وب Web Sessions

• JWT (JSON Web Token) JWT (JSON Web Token)

• مثال JWT JWT Example

• OAuth OAuth

• OpenID و OpenID Connect OpenID and OpenID Connect

رتبه بندی ریسک و مدل سازی تهدید Risk Rating and Threat Modeling

• مقدمه رتبه بندی ریسک Risk Rating Introduction

• نسخه نمایشی رتبه بندی ریسک Risk Rating Demo

• مقدمه ای بر مدل سازی تهدید Introduction to Threat Modeling

• نوع مدل سازی تهدید Type of Threat Modeling

• مقدمه ای بر مدل سازی دستی تهدید Introduction to Manual Threat Modeling

• نسخه ی نمایشی مدل تهدید دستی Manual Threat Model demo

• آماده سازی برای مایکروسافت Threat Model Tool Prepping for Microsoft Threat Model Tool

• نسخه ی نمایشی ابزار مدل تهدید مایکروسافت Microsoft Threat Model Tool demo

رمزگذاری و هش کردن Encryption and Hashing

• بررسی اجمالی رمزگذاری Encryption Overview

• موارد استفاده از رمزگذاری Encryption Use Cases

• نمای کلی هشینگ Hashing Overview

• درهم سازی نسخه ی نمایشی Hashing Demo

• PKI (زیرساخت کلید عمومی) PKI (Public Key Infrastructure)

• مدیریت رمز عبور Password Management

• نسخه ی نمایشی رمز عبور Password Demo

چارچوب و فرآیند Frameworks and Process

• HIPAA (قانون قابل حمل و پاسخگویی بیمه سلامت) HIPAA (Health Insurance Portability and Accountability Act)

• PCI DSS (استاندارد امنیت داده صنعت کارت پرداخت) PCI DSS (Payment Card Industry Data Security Standard)

• DevOps DevOps

• DevSecOps DevSecOps

• موارد استفاده، سوء استفاده و سوء استفاده Use, Abuse, and Misuse cases

اسکن و تست امنیتی Security Scanning and Testing

• SAST (تست امنیت برنامه استاتیک) SAST (Static Application Security Testing)

• نقطه نمایش اشکالات Spot Bugs Demo

• DAST (تست امنیت برنامه پویا) DAST (Dynamic Application Security Testing)

• IAST (تست امنیت برنامه های کاربردی تعاملی) IAST (Interactive Application Security Testing)

• RASP (محافظت از خود برنامه در زمان اجرا) RASP (Runtime Application Self-Protection)

• WAF (فایروال برنامه های وب) WAF (Web Application Firewall)

• تست نفوذ Penetration Testing

• SCA (تحلیل ترکیب نرم افزار) SCA (Software Composition Analysis)

نتیجه Conclusion

• نتیجه Conclusion