آموزش امنیت برنامه - راهنمای کامل

سرفصل ها و درس ها

معرفی این دوره. Introduction to this course.

• به درک امنیت برنامه خوش آمدید! Welcome to Understanding Application Security!

خوش آمدی! Welcome!

• معرفی امنیت برنامه Application Security Introduction

• شرایط و تعاریف امنیت برنامه Application Security Terms and Definitions

• اهداف امنیتی برنامه Application Security Goals

• نسخه ی نمایشی OWASP WebGoat OWASP WebGoat Demo

• مسابقه مقدمه Introduction Quiz

مقدمه ای بر 10 اصطلاح برتر OWASP و بیشتر. Introduction to OWASP Top 10 and more terms.

• معرفی OWASP Top 10 Introduction to OWASP Top 10

• SANS Top 25 SANS Top 25

• عوامل تهدید و تعاریف بیشتر Threat actors and more definitions

• دفاع در عمق Defense in Depth

• ابزارهای پروکسی Proxy Tools

• نسخه ی نمایشی Fiddler با JuiceShop Demo of Fiddler with JuiceShop

• امنیت API API Security

• امتحان در OWASP و موارد دیگر Quiz on OWASP and More

به 10 برتر OWASP شیرجه بزنید Dive into the OWASP Top 10

• کنترل دسترسی خراب Broken Access Control

• خرابی های رمزنگاری Cryptographic Failures

• تزریق Injection

• طراحی ناامن Insecure Design

• پیکربندی اشتباه امنیتی Security Misconfiguration

• مولفه های آسیب پذیر و قدیمی Vulnerable and Outdated Components

• خرابی های شناسایی و احراز هویت Identification and Authentication Failures

• نقص نرم افزار و یکپارچگی داده ها Software and Data Integrity Failures

• خرابی های ثبت و مانیتورینگ امنیتی Security Logging and Monitoring Failures

• جعل درخواست سمت سرور Server-Side Request Forgery

• آزمون ده برتر OWASP OWASP Top Ten Quiz

دفاع و ابزار Defenses and Tools

• OWASP ZAP (پراکسی حمله Zed) OWASP ZAP (Zed Attack Proxy)

• اجرای اسکن ZAP Running a ZAP scan

• اسکریپت متقابل سایت Cross Site Scripting

• CSP (خط مشی امنیت محتوا) CSP (Content Security Policy)

• نسخه ی نمایشی CSP CSP Demo

• مدل های امنیتی Security Models

• SKF (چارچوب دانش امنیتی) SKF (Security Knowledge Framework)

• نسخه ی نمایشی SKF SKF Demo

• نسخه ی نمایشی آزمایشگاه های SKF SKF Labs Demo

• بررسی کد منبع Source Code Review

• آزمون دفاع و ابزار Defense and Tools Quiz

مدیریت جلسه Session Management

• مقدمه ای بر مدیریت جلسات Introduction to session management

• جلسات وب Web sessions

• JWT (JSON Web Token) JWT (JSON Web Token)

• مثال JWT JWT Example

• OAuth OAuth

• OpenID & OpenID Connect OpenID & OpenID Connect

رتبه بندی ریسک و مدل سازی تهدید Risk Rating and Threat Modeling

• مقدمه رتبه بندی ریسک Risk Rating Introduction

• نسخه نمایشی رتبه بندی ریسک Risk Rating Demo

• مقدمه ای بر مدل سازی تهدید Introduction to Threat Modeling

• نوع مدل سازی تهدید Type of Threat Modeling

• مقدمه ای بر مدل سازی دستی تهدید Introduction to Manual Threat Modeling

• نسخه ی نمایشی مدل تهدید دستی Manual Threat Model demo

• آماده سازی برای مایکروسافت Threat Model Tool Prepping for Microsoft Threat Model Tool

• نسخه ی نمایشی ابزار مدل تهدید مایکروسافت Microsoft Threat Model Tool demo

رمزگذاری و هش کردن Encryption and Hashing

• بررسی اجمالی رمزگذاری Encryption Overview

• موارد استفاده از رمزگذاری Encryption Use Cases

• نمای کلی هشینگ Hashing Overview

• هش کردن نسخه ی نمایشی Hashing Demo

• PKI (زیرساخت کلید عمومی) PKI (Public Key Infrastructure)

• مدیریت رمز عبور Password Management

• رمز عبور نسخه ی نمایشی Password Demo

چارچوب و فرآیند Frameworks and Process

• HIPAA (قانون قابل حمل و پاسخگویی بیمه سلامت) HIPAA (Health Insurance Portability and Accountability Act)

• PCI DSS (استاندارد امنیت داده صنعت کارت پرداخت) PCI DSS (Payment Card Industry Data Security Standard)

• DevOps DevOps

• DevSecOps DevSecOps

• موارد استفاده، سوء استفاده و سوء استفاده Use, Abuse, and Misuse cases

اسکن و تست امنیتی Security Scanning and Testing

• SAST (تست امنیت برنامه استاتیک) SAST (Static Application Security Testing)

• نقطه نمایش اشکالات Spot Bugs Demo

• DAST (تست امنیت برنامه پویا) DAST (Dynamic Application Security Testing)

• IAST (تست امنیت برنامه های کاربردی تعاملی) IAST (Interactive Application Security Testing)

• RASP (محافظت از خود برنامه در زمان اجرا) RASP (Runtime Application Self-Protection)

• WAF (فایروال برنامه های وب) WAF (Web Application Firewall)

• تست نفوذ Penetration Testing

• SCA (تحلیل ترکیب نرم افزار) SCA (Software Composition Analysis)

نتیجه Conclusion

• نتیجه Conclusion