نکته:
آخرین آپدیت رو دریافت میکنید حتی اگر این محتوا بروز نباشد.
نمونه ویدیویی برای نمایش وجود ندارد.
توضیحات دوره:
درک خطرات امنیتی که یک برنامه وب Node.js را تهدید می کند برای موفقیت آن بسیار مهم است. این دوره با هدف ارائه تخفیف های کاربردی برای اعمال برنامه شما در برابر این آسیب پذیری ها انجام می شود. از زمان ایجاد خود در سال 2009 ، Node.js رشد چشمگیری در جامعه کاربران خود و برنامه هایی که در حال ساخت هستند ، مشاهده کرده است. با حرکت به سمت یک جامعه متصل ، نیاز به برنامه های وب هرگز بیشتر نبوده است. با این وجود ، علیرغم تلاش برای اتصال جهان همانطور که ما آن را می شناسیم ، تجارت های مختلف از هر اندازه قربانی نقض داده می شوند. خطرات امنیتی که یک برنامه وب مبتنی بر Node.js با آن روبرو است با سایر برنامه های وب تفاوتی ندارد. این دوره ، ایمن کردن برنامه وب Node.js شما ، هم با درک خطرات مختلف امنیتی مبتنی بر وب و هم چگونگی اعمال تخفیف مناسب در برنامه وب Node.js شما را قادر می سازد. ابتدا ، شما درمورد اجرای صحیح احراز هویت و مدیریت جلسه آشنا خواهید شد. در مرحله بعدی ، شما نحوه محافظت از پایگاه داده MongoDB خود را در برابر حملات تزریق و نحوه مدیریت داده های غیرقابل اعتماد - یک بازیگر اصلی در بسیاری از خطرات مورد بررسی قرار خواهید داد. سرانجام ، شما با یادگیری نحوه کنترل برنامه و مجوز کاربر برای دسترسی به مناطق اصلی و مزایای سرویس دهی به برنامه ما از طریق HTTPS ، کار خود را پایان خواهید داد. در پایان این دوره ، شما در حال ساخت یک برنامه وب Node.js با امنیت بیشتری هستید.
سرفصل ها و درس ها
بررسی اجمالی دوره
Course Overview
-
بررسی اجمالی دوره
Course Overview
مقدمه ای بر سالن هکرها
Introduction to Hackers Hall
-
مقدمه ای بر سالن هکرها
Introduction to Hackers Hall
احراز هویت مناسب کاربر
Proper User Authentication
-
بررسی اجمالی
Overview
-
مشکل ذخیره سازی رمز عبور
The Problem with Password Storage
-
مقدمه ای بر Bcrypt
Introduction to Bcrypt
-
پیاده سازی Bcrypt
Implementing Bcrypt
-
قدرت رمز عبور ، ماده مفقود شده
Password Strength, the Missing Ingredient
-
اجرای قوانین اعتبار سنجی با Express-validator
Enforcing Validation Rules with Express-validator
-
اجرای اعتبار سنجی در سطح پایگاه داده با Mongoose
Enforcing Validation at the Database level with Mongoose
-
محافظت های بی رحمانه
Brute-force Safeguards
-
تخفیف بی رحمانه با پاسخ های تأخیری
Brute-force Mitigation with Delayed Responses
-
پیگیری ورودهای ناموفق
Tracking Failed Logins
-
کاهش حملات موازی وحشیانه
Mitigating Parallel Brute-force Attacks
-
امنیت لایه حمل و نقل
Transport Layer Security
-
خلاصه
Summary
مدیریت جلسه
Session Management
-
بررسی اجمالی
Overview
-
مشکل شناسه جلسه
The Problem with Session ID's
-
محافظت از شناسه جلسه
Protecting the Session ID
-
جلسات محدود به زمان
Time-limited Sessions
-
رفع جلسه
Session Fixation
-
بازسازی جلسات احراز هویت
Regenerating Sessions on Authentication
-
مشکل کوکی های جلسه
The Problem with Session Cookies
-
محافظت از کوکی های جلسه فقط با پرچم HTTP
Protecting Session Cookies with the HTTPOnly Flag
-
استفاده از Transport Layer Security برای ایمن سازی کوکی های جلسه
Using Transport Layer Security to Secure Session Cookies
-
مشکل محتوای مخلوط
The Problem with Mixed Content
-
محافظت از کوکی های جلسه با پرچم امن
Protecting Session Cookies with the Secure Flag
-
مجوز مجدد در مناطق دسترسی کلیدی
Re-authorization on Key Access Areas
-
خلاصه
Summary
ایمن سازی MongoDB از حملات تزریق
Securing MongoDB from Injection Attacks
-
بررسی اجمالی
Overview
-
حملات تزریق SQL
SQL Injection Attacks
-
تظاهرات تزریق با Burp
Injection Demonstration with Burp
-
NoSQL و خطر حمله های تزریقی
NoSQL and the Risk of Injection Attacks
-
حملات تزریق MongoDB
MongoDB Injection Attacks
-
MongoDB و خطر عبارات JavaScript
MongoDB and the Risk of JavaScript Expressions
-
مدیریت داده های نامطمئن
Handling Untrusted Data
-
خلاصه
Summary
مدیریت داده های نامطمئن
Handling Untrusted Data
-
بررسی اجمالی
Overview
-
Fuzzing data with Zed Attack Proxy
Fuzzing Data with Zed Attack Proxy
-
شناسایی داده های نامطمئن
Identifying Untrusted Data
-
از کجا و چه زمان داده های نامعتبر را مدیریت کنید
Where and When to Handle Untrusted Data
-
رویکردهای لیست سفید در برابر لیست سیاه
Whitelist Versus Blacklist Approaches
-
تأیید اعتبار داده های نامعتبر
Validating Untrusted Data
-
فرار از داده های نامطمئن
Escaping Untrusted Data
-
چرا ضد عفونی کردن خیلی بهداشتی نیست
Why Sanitizing Isn't So Sanitary
-
خلاصه
Summary
کنترل دسترسی
Access Controls
-
بررسی اجمالی
Overview
-
اصل حداقل امتیاز
Principle of Least Privilege
-
مشکل دسترسی به پایگاه داده
The Problem with Database Access
-
بررسی اجمالی کنترل دسترسی MongoDB
Overview of MongoDB Access Control
-
اجرای کنترل دسترسی MongoDB
Implementing MongoDB Access Control
-
کنترل دسترسی مبتنی بر نقش
Role Based Access Control
-
کنترل سطح عملکرد (با RBAC)
Function Level Controls (with RBAC)
-
عدم کنترل سطح عملکرد عملکرد سمت سرور
Server-side Function Level Control Failure
-
پیکربندی اشتباه کنترل دسترسی
Access Control Misconfiguration
-
خلاصه
Summary
دفاع در برابر برنامه نویسی متقابل سایت (XSS)
Defending Against Cross-site Scripting (XSS)
-
بررسی اجمالی
Overview
-
نسخه ی نمایشی: برنامه نویسی بین سایت
Demo: Cross-site Scripting
-
شناسایی XSS با Netsparker
Identifying XSS with Netsparker
-
آناتومی حمله اسکریپت متقابل سایت
Anatomy of Cross-site Scripting Attack
-
بازنویسی اسکریپت نویسی بین سایت
Reflective Cross-site Scripting
-
نوشتن مداوم بین سایت
Persistent Cross-site Scripting
-
اسکریپت نویسی بین سایت مبتنی بر DOM
DOM Based Cross-site Scripting
-
مقدمه ای بر سیاست های امنیت محتوا
Introduction to Content Security Policies
-
اجرای سیاست های امنیتی محتوا
Implementing Content Security Policies
-
فعال کردن فیلتر محافظت از اسکریپت متقابل سایت
Enabling Cross-site Scripting Protection Filter
-
محافظت از کوکی ها
Cookies Protection
-
فرار از داده های نامطمئن
Escaping Untrusted Data
-
سالم سازی و اعتبار سنجی داده های نامعتبر
Sanitizing and Validation of Untrusted Data
-
خلاصه
Summary
اتصال شما
Securing Your Connection
-
بررسی اجمالی
Overview
-
سوپ مخفف: TLS ، SSL و HTTPS
Acronym Soup: TLS, SSL, and HTTPS
-
اهمیت TLS
The Importance of TLS
-
راه اندازی یک سرور امن
Setting up a Secure Server
-
فرم ها را از بالا وارد کنید
Login Forms from the Top
-
معرفی HTTP Strike Transport Security
Introducing to HTTP Strict Transport Security
-
اجرای سرآیند HSTS
Implementing the HSTS Header
-
معرفی سیاست امنیت محتوا
Introducing to Content Security Policy
-
اجرای سرصفحه CSP
Implementing the CSP Header
-
خلاصه
Summary
نمایش نظرات