آموزش امنیت برنامه های وب جاوا از طریق احراز هویت

سرفصل ها و درس ها

بررسی اجمالی دوره Course Overview

• بررسی اجمالی دوره Course Overview

مقدمه Introduction

• رمز ورود شما چقدر امن است؟ How Secure Is Your Password?

• هک اشلی مدیسون The Ashley Madison Hack

• من و تو چه کاری می توانیم انجام دهیم؟ What Can You and I Do?

شناسایی و کاهش آسیب پذیری های شمارش Identifying and Mitigating Enumeration Vulnerabilities

• اشلی مدیسون ، قسمت دوم Ashley Madison, Part II

• شمارش چیست؟ What Is Enumeration?

• تشخیص شمارش با استفاده از تست ها Detecting Enumeration Using Tests

• چگونه یک هکر نام کاربری من را حدس می زند؟ How Would a Hacker Guess My Username?

• بهره برداری از شمارش برای یافتن نام های کاربری Exploiting Enumeration to Find Usernames

• نه تأیید کنید و نه انکار کنید Neither Confirm Nor Deny

• کاهش شمارش با پیام خطا Mitigating Enumeration with Error Messaging

• مشکل با زمان ثابت The Trouble with Constant-time

• آسیب پذیری زمان با. Equals () Timing Vulnerabilities with .equals()

• آسیب پذیری زمانبندی با احراز هویت Timing Vulnerabilities with Authentication

• کاهش شمارش با الگوریتم زمان ثابت Mitigating Enumeration with a Constant-time Algorithm

• کاهش شمارش با شاخص ها Mitigating Enumeration with Indexes

• کاهش شمارش با سeriesالات متمرکز Mitigating Enumeration with Focused Queries

• کاهش شمارش با اعزام ناهمزمان Mitigating Enumeration with Asynchronous Dispatch

• ضد الگو: کاهش شمارش با تکان دهنده تصادفی Anti-pattern: Mitigating Enumeration with Random Jitter

• مرور Review

شناسایی و کاهش آسیب پذیری های نیروی بی رحم Identifying and Mitigating Brute Force Vulnerabilities

• هکرها و بچه های سه ساله Hackers and Three-year Olds

• Brute Forcing و ASVS Brute Forcing and the ASVS

• تشخیص Brute Force با آزمایشات Detecting Brute Force with Tests

• رمز عبور بد را مشاهده کنید Spot the Bad Password

• Brute Forcing با جان چاک دهنده Brute Forcing with John the Ripper

• آیا همه گذرواژه های پیش فرض خود را تغییر داده اید؟ Have You Changed All Your Default Passwords?

• کاهش Brute Force با حذف Trojans Mitigating Brute Force by Removing Trojans

• کاهش Brute Force با خودکار کردن تغییر رمز عبور پیش فرض Mitigating Brute Force by Automating Default Password Change

• Soft Lockout در مقابل Hard Lockout Soft Lockout vs. Hard Lockout

• کاهش Brute Force با یک Lockout نرم Mitigating Brute Force with a Soft Lockout

• تأیید ایمن آدرس IP Securely Verifying the IP Address

• کاهش Brute Force با IP Lockout های نرم Mitigating Brute Force with IP Soft Lockouts

• یک دلیل دیگر برای اضافه کردن احراز هویت دو عاملی One More Reason to Add Two-factor Authentication

• استفاده از RFC 6238 برای افزودن احراز هویت دو عاملی Using RFC 6238 to Add Two-factor Authentication

• کاهش Brute Force با احراز هویت دو عاملی Mitigating Brute Force with Two-factor Authentication

• آزمایش همه چیز Testing It All Out

• تقویت بیشتر احراز هویت دو عاملی Further Strengthening Two-factor Authentication

شناسایی و کاهش آسیب پذیری متن ساده در حمل و نقل Identifying and Mitigating Plaintext Vulnerabilities in Transit

• رمزهای عبور و حملات هراس Passwords and Panic Attacks

• رمز عبور متن ساده در هر کجا وجود ندارد No Plaintext Passwords Anywhere

• اجرای MITM با Bettercap Performing MITM with Bettercap

• TLS در جاوا TLS in Java

• تولید و اعتماد به یک گواهینامه خود امضا شده با Keytool Generating and Trusting a Self-signed Certificate with Keytool

• دریافت مرورگرها برای اعتماد به گواهی خود امضا شده Getting Browsers to Trust Your Self-signed Certificate

• اجرای HTTPS با سرویس های جاوا Enforcing HTTPS with Java Servlets

• اجرای HTTPS با Spring Boot و Spring Security Enforcing HTTPS with Spring Boot and Spring Security

• اجرای HTTPS با HSTS Enforcing HTTPS with HSTS

• احراز هویت مبتنی بر رمز Token-based Authentication

• محافظت از رمزهای عبور با OAuth Protecting Passwords with OAuth

• فدراسیون Federation

• محافظت از رمزهای عبور با فدراسیون Protecting Passwords with Federation

• مرور Review

شناسایی و کاهش آسیب پذیری متن ساده در حالت استراحت Identifying and Mitigating Plaintext Vulnerabilities at Rest

• نام آن رمز عبور Name That Password

• اهمیت آنتروپی The Importance of Entropy

• اجازه دادن به شخصیت های خاص و گذرواژه های طولانی Allowing Special Characters and Long Passwords

• چرا LUNS کافی نیست Why LUNS Isn't Enough

• بهبود LUNS با Nbvcxz Improving on LUNS with Nbvcxz

• یک تریلیون حدس در ثانیه One Trillion Guesses Per Second

• تأیید آنتروپی زیاد با تست واحد Verifying High Entropy with Unit Tests

• مدل بلوغ ذخیره سازی رمز عبور ، سطح یک Password Storage Maturity Model, Level One

• مدل بلوغ ذخیره سازی رمز عبور ، سطح دو Password Storage Maturity Model, Level Two

• مدل بلوغ ذخیره سازی رمز عبور ، سطح سه Password Storage Maturity Model, Level Three

• تقویت فضای ذخیره سازی رمز عبور با BCrypt Strengthening Password Storage with BCrypt

• به روزرسانی فضای ذخیره سازی رمز عبور با Security Security Upgrading Password Storage with Spring Security

• اسکریپت نویسی رمز عبور ذخیره سازی ارتقا with با امنیت بهار Scripting Password Storage Upgrades with Spring Security

• اصلاح مجدد مکانیسم های ذخیره سازی ناامن Rehashing Insecure Storage Mechanisms

• اصلاح مجدد مکانیسم های ذخیره سازی ناامن با امنیت فنر Rehashing Insecure Storage Mechanisms with Spring Security

• بهره برداری از آسیب پذیری های تغییر رمز عبور Exploiting Password Change Vulnerabilities

• تغییر رمز عبور و ASVS Password Change and the ASVS

• مجوز معاملاتی چیست؟ What Is Transactional Authorization?

• امنیت تغییر رمز عبور با رمزهای عبور قدیمی Securing Password Change with Old Passwords

• مجوز تراکنشی مبتنی بر رمز Token-based Transactional Authorization

• اصول طراحی سرویس معاملات مبتنی بر رمز Token-based Transaction Service Design Principles

• طرح کلی بازیابی رمز عبور امن A Secure Password Recovery Outline

• کاهش آسیب پذیری های بازیابی رمز عبور Mitigating Password Recovery Vulnerabilities

• کاهش شمارش بازیابی رمز عبور Mitigating Password Recovery Enumeration

• پاک کردن رمزهای بازیابی رمز عبور Cleaning up Password Recovery Tokens

• مرور Review

• همه چیز اشتباه پیش خواهد رفت Things Will Go Wrong

ایجاد دنباله حسابرسی برای رویدادهای امنیتی Creating an Audit Trail for Security Events

• FOMO در یک هک حماسی FOMO on an Epic Hack

• ثبت وقایع احراز هویت Logging Authentication Events

• ورود به سیستم به عنوان یک جنبه Logging as an Aspect

• ثبت وقایع احراز هویت با امنیت بهار Logging Authentication Events with Spring Security

• ورود به سیستم رویدادها را تغییر دهید Logging Change Events

• ورود به سیستم تغییر رویدادها با امنیت بهار Logging Change Events with Spring Security

• ورود به سیستم تغییر رویدادها با بهار محرک Logging Change Events with Spring Actuator

• ورود به سیستم در دسترس بودن ، منابع ، و رویدادهای بد بودن Logging Availability, Resource, and Badness Events

• ورود به سیستم بهتر برای Soft Lockout Better Logging for Soft Lockout

• چه اطلاعاتی باید در یک سیاهه وارد شود What Information Should Go in a Log

• هرگز اینها را ثبت نکنید Never Log These

• معیارها در مقابل گزارشها Metrics vs. Logs

• خط لوله ورود به سیستم در زمان واقعی A Real-time Log Pipeline

• ایجاد یک گزارش ایمن با Logback Creating a Secure Log with Logback

• نظارت بر رویدادهای ایمن + نتیجه گیری Monitoring for Secure Events + Conclusion