آموزش چگونه از نوشتن کد ناامن خودداری کنیم

سرفصل ها و درس ها

معرفی Introduction

• بررسی اجمالی دوره The Course Overview

• کمی شرایط A Little Bit of Terms

• امتحان Quiz

• آنتی الگوهای امنیتی نرم افزار Software Security Anti-Patterns

• امتحان Quiz

سوگیری تایید Confirmation Bias

• ضد الگوی سوگیری تایید چیست؟ What is Confirmation Bias Anti-Pattern?

• وظیفه Wason 2-4-6 Wason’s 2-4-6 Task

• یک توهم صوتی - مغز شما An Audio Illusion - Your Brain

• Heartbleed: یک فروپاشی امنیت کامل اینترنت Heartbleed: A Total Security Collapse of the Internet

• جزئیات Heartbleed Heartbleed Details

• آپلود ناامن فایل چیست؟ What is Insecure File Upload?

• نسخه ی نمایشی: بررسی افزونه Buggy Demo: Buggy Extension Check

• چگونه رفع کنیم؟ How to Fix?

• خلاصه Recap

• امتحان Quiz

کپی-پیست کد ناامن Copy-Paste Insecure Code

• ضد الگوی کد ناامن کپی پیست چیست؟ What is Copy-Paste Insecure Code Anti-Pattern?

• تجزیه و تحلیل: پاسخ های StackOverflow به طور بحرانی ناامن Analysis: Critically Insecure StackOverflow Answers

• XML External Entity Attack چیست؟ What is XML External Entity Attack?

• نسخه ی نمایشی: حمله XXE Demo: XXE Attack

• اعتماد به گواهینامه های SSL ناامن چیست؟ What is Trusting Insecure SSL Certificates?

• نسخه ی نمایشی: اعتماد به گواهی نامه های خودامضا Demo: Trusting Self-Signed Certificates

• چگونه رفع کنیم؟ How to Fix?

• خلاصه Recap

• امتحان Quiz

عدم مجوز Lack of Authorization

• ضد الگوی عدم مجوز چیست؟ What is Lack of Authorization Anti-Pattern?

• مرجع شیء مستقیم ناامن (IDOR) چیست؟ What is Insecure Direct Object Reference (IDOR)?

• نسخه ی نمایشی: IDOR Demo: IDOR

• چک های مجوز از دست رفته در PostBacks چیست؟ What is Missing Authorization Checks at PostBacks?

• نسخه ی نمایشی: بررسی های مجوز در PostBacks وجود ندارد Demo: Missing Authorization Checks at PostBacks

• چگونه رفع کنیم؟ How to Fix?

• خلاصه Recap

• امتحان Quiz

ترکیب کد و داده Mixing Code and Data

• ضد الگوی ترکیب کد و داده چیست؟ What is Mixing Code and Data Anti-Pattern?

• SQL Injection چیست؟ What is SQL Injection?

• نسخه ی نمایشی: SQL Injection Demo: SQL Injection

• XPath چیست؟ What is XPath?

• نسخه ی نمایشی: XPath Injection Demo: XPath Injection

• چگونه رفع کنیم؟ How to Fix?

• خنثی سازی Neutralization

• خلاصه Recap

• امتحان Quiz

استفاده از لیست سیاه Using Blacklists

• استفاده از ضد الگوی لیست سیاه چیست؟ What is Using Blacklists Anti-Pattern?

• Cross Site Scripting چیست؟ What is Cross Site Scripting?

• دور زدن فیلترهای لیست سیاه Bypassing Blacklist Filters

• نسخه ی نمایشی: دور زدن فیلترهای لیست سیاه Demo: Bypassing Blacklist Filters

• بای پس تأیید اعتبار درخواست دات نت .NET Request Validation Bypass

• نسخه ی نمایشی: Spring AutoBind Bypass لیست سیاه Demo: Spring AutoBind Blacklist Bypass

• چگونه رفع کنیم؟ How to Fix?

• خلاصه Recap

• امتحان Quiz

بدخواه را ببخش Pardon the Malintent

• ضدالگوی Pardon the Malintent چیست؟ What is Pardon the Malintent Anti-Pattern?

• Regular Expression DOS چیست؟ What is Regular Expression DOS?

• نسخه ی نمایشی: Regex DOS Demo: Regex DOS

• پیمایش دایرکتوری چیست؟ What is Directory Traversal?

• نسخه ی نمایشی: پیمایش دایرکتوری Demo: Directory Traversal

• چگونه رفع کنیم؟ How to Fix?

• خلاصه Recap

• امتحان Quiz

ناآگاهی کتابخانه ایمن Secure Library Ignorance

• ضد الگوی ناآگاهی کتابخانه ایمن چیست؟ What is Secure Library Ignorance Anti-Pattern?

• مقدمه ای بر کتابخانه jsTree Javascript Introduction to jsTree Javascript library

• نسخه ی نمایشی: jsTree - Cross Site Scripting Demo: jsTree - Cross Site Scripting

• اشکالات نامطمئن ناامن چیست؟ What is Insecure Deserialization Bugs?

• نسخه ی نمایشی: XStream - جاوا deserialization Demo: XStream - Java Deserialization

• معرفی کوتاه React و SPA Short Introduction to React and SPAs

• نسخه ی نمایشی: استفاده از واکنش ناامن Demo: Insecure React Use

• چگونه رفع کنیم؟ How to Fix?

• خلاصه Recap

• امتحان Quiz

دانش ناکافی WWW Insufficient WWW Knowledge

• ضد الگوی دانش ناکافی WWW چیست؟ What is Insufficient WWW Knowledge Anti-Pattern?

• X-Forwarded-For HTTP Header چیست؟ What is X-Forwarded-For HTTP Header?

• نسخه ی نمایشی: X-Forwarded-Insecure-For Parsing Demo: Insecure X-Forwarded-For Parsing

• مقدمه ای کوتاه بر CAPTCHA A Short Introduction to CAPTCHAs

• نسخه ی نمایشی: مکانیسم ناامن ضد نیروی بی رحم Demo: Insecure Anti-Brute Force Mechanism

• Session Puzzling چیست؟ What is Session Puzzling?

• نسخه ی نمایشی: جلسه گیج کننده Demo: Session Puzzling

• کنترل های سمت مشتری Client Side Controls

• چگونه رفع کنیم؟ How to Fix?

• خلاصه Recap

• امتحان Quiz

افزایش سطح حمله Increasing the Attack Surface

• افزایش ضد الگوی سطح حمله چیست؟ What is Increasing the Attack Surface Anti-Pattern?

• Mass Assignment چیست؟ What is Mass Assignment?

• نسخه ی نمایشی: تخصیص انبوه Demo: Mass Assignment

• آلودگی پارامتر توییتر IDOR و HTTP Twitter IDOR & HTTP Parameter Pollution

• چگونه رفع کنیم؟ How to Fix?

• خلاصه Recap

• امتحان Quiz

امتیاز: استراتژی های اعتبار سنجی ورودی Bonus: Input Validation Strategies

• نگاهی کوتاه به استراتژی ها A Short View of Strategies

• قرار دادن لیست سفید Whitelisting

• لیست سیاه Blacklisting

• پاکسازی Sanitization

• رمزگذاری Encoding

• عادی سازی Normalization

• امتحان Quiz

خلاصه دوره و کار آینده Course Recap and Future Work

• خلاصه و از اینجا کجا برویم؟ Recap & Where to Go from Here?

• آزمون دوره Course Quiz