آموزش کد نویسی ایمن - توسعه برنامه ایمن

سرفصل ها و درس ها

معرفی Introduction

• معرفی Introduction

• آمار سناریوهای حمله در دنیای فناوری اطلاعات Attack scenario statistics in the IT world

روش‌های توسعه کد امن Methodologies for developing secure code

• چرخه عمر توسعه نرم افزار Software development lifecycle

• تحلیل ریسک Risk analysis

• مدل سازی تهدید Threat modeling

• مدل سازی تهدید - ورزش Threat modeling - exercise

• ابزارهای SAST (تست امنیت برنامه استاتیک). SAST (Static Application Security Testing) tools

• جامعه OWASP The OWASP community

• رهنمودهایی برای کدنویسی ایمن Guidelines for secure coding

• تست تایید Verification test

VAPT (ارزیابی آسیب پذیری و تست نفوذ) برنامه ها VAPT (Vulnerability Assessment and Penetration Test) of applications

• مقدمه ای بر پروتکل HTTP Introduction to the HTTP protocol

• راهنمای تست امنیت وب Owasp Owasp Web Security Testing Guide

• ابزارهای کمکی برای فعالیت های VAPT Help tools for VAPT activities

• آزمایشگاه: استفاده از پروکسی Burp برای آزمایش برنامه های کاربردی وب Lab: using Burp proxy to test web applications

اعتبار سنجی ورودی Input validation

• دستورالعمل های کدگذاری ایمن برای اعتبار سنجی ورودی Secure Coding guidelines for input validation

• آسیب پذیری SQL Injection SQL Injection vulnerability

• آزمایشگاه آسیب‌پذیری SQL Injection SQL Injection vulnerability Lab

• آسیب پذیری های LDAP و XPath Injection LDAP and XPath Injection vulnerabilities

• آسیب‌پذیری Cross-Site Scripting (XSS). Cross-Site Scripting (XSS) vulnerability

• آزمایشگاه آسیب‌پذیری Cross-Site Scripting (XSS). Cross-Site Scripting (XSS) vulnerability Lab

• آسیب پذیری OS Command Injection OS Command Injection vulnerability

• OS Command Injection Lab OS Command Injection vulnerability Lab

• آسیب پذیری LFI (شمول فایل محلی) و RFI (شمول فایل از راه دور) LFI (Local File Inclusion) and RFI (Remote File Inclusion) vulnerabilities

• آزمایشگاه آسیب پذیری های LFI/RFI LFI / RFI vulnerabilities Lab

• آسیب پذیری آپلود فایل تایید نشده Unvalidated File Upload vulnerability

• آزمایشگاه آسیب‌پذیری بارگذاری فایل تأیید نشده Unvalidated File Upload vulnerability Lab

• آسیب پذیری های سرریز بافر Buffer Overflow vulnerabilities

• آسیب پذیری های XXE (XML External Entities). XXE (XML External Entities) Vulnerabilities

• آزمایشگاه XXE (XML External Entities). XXE (XML External Entities) Lab

• سریال زدایی ناامن Insecure Deserialization

• تست تایید Verification test

احراز هویت برنامه ها Authentication of applications

• مکانیسم های احراز هویت Authentication mechanisms

• دستورالعمل هایی برای احراز هویت و مدیریت رمز عبور Guidelines for authentication and password management

• حمله به احراز هویت Attacks on authentication

امنیت مدیریت جلسات Security of Session Management

• مقدمه ای بر مدیریت جلسات در برنامه های کاربردی وب Introduction to Session Management in Web Applications

• بهترین شیوه های مدیریت جلسه Session Management best practices

• حمله XSRF (جعل درخواست متقابل). XSRF (Cross-site Request Forgery) Attack

شیوه های کدگذاری ایمن برای رمزنگاری Secure Coding Practices for Cryptography

• مقدمه ای بر رمزنگاری و دستورالعمل های استفاده از رمزگذاری Introduction to cryptography and guidelines for using encryption

• رمزنگاری متقارن Symmetric cryptography

• رمزنگاری نامتقارن Asymmetric cryptography

• الگوریتم های درهم سازی Hashing algorithms

• تست تایید Verification test

منابع References

• گواهینامه های کدگذاری ایمن Secure Coding Certifications

• لینک برای اطلاعات بیشتر Links for further information