آموزش هک کردن برنامه های کاربردی وب ASP.NET شما
Hack-proofing Your ASP.NET Web Applications
نکته:
آخرین آپدیت رو دریافت میکنید حتی اگر این محتوا بروز نباشد.
نمونه ویدیوها:
سرفصل ها و درس ها
تزریق SQL SQL Injection
-
معرفی Introduction
-
SQL Injection چیست؟ What is SQL Injection?
-
نسخه ی نمایشی - تزریق SQL مبتنی بر فرم 1 Demo - Form based SQL Injection 1
-
نسخه ی نمایشی - تزریق SQL مبتنی بر فرم 2 Demo - Form based SQL Injection 2
-
چگونه از تزریق SQL جلوگیری می کنید؟ How do you prevent SQL Injection?
-
نسخه ی نمایشی - ابزار حسابرسی مجوزهای SQL Demo - SQL Permissions Auditor Tool
-
حفاظت های اضافی Additional Protections
-
رفع مشکل - روال لیست سیاه Problematic Fixes - Blacklisting Routines
-
رفع مشکل - روتین های SQL و برش SQL Problematic Fixes - SQL Routines and SQL Truncation
-
ایده های پرس و جو پویا پایه Basic Dynamic Query Ideas
-
استفاده از ORM Using an ORM
-
اطلاعات اضافی/مراجع Additional Information / References
نشت اطلاعات Information Leakage
-
معرفی Introduction
-
نشت اطلاعات چیست؟ What is information leakage?
-
اطلاعات آن چگونه جمع آوری می شود؟ How is it information gathered?
-
نسخه ی نمایشی - نشت اطلاعات اولیه برنامه وب Demo - Web App Basic Information Leakage
-
نسخه ی نمایشی - نشت اطلاعات از صفحه خطا Demo - Information Leakage from error page
-
نسخه ی نمایشی - نشت اطلاعات توسط Ajax Demo - Information Leakage by Ajax
-
چگونه از نشت اطلاعات جلوگیری می کنید؟ How do you prevent Information Leakage?
-
خواندن اضافی Additional Reading
اسکریپت بین سایتی (XSS) Cross-Site Scripting (XSS)
-
معرفی Introduction
-
XSS چیست؟ What is XSS?
-
XSS چگونه مورد سوء استفاده قرار می گیرد؟ How is XSS exploited?
-
نسخه ی نمایشی - بازتاب حمله XSS Demo - Reflected XSS Attack
-
نسخه ی نمایشی - حمله مداوم XSS Demo - Persistent XSS Attack
-
نسخه ی نمایشی - سبک قدیمی تر IE6 نوع محتوای حمله Sniffing Demo - Older Style IE6 Content Type Sniffing Attack
-
نسخه ی نمایشی - XSS مبتنی بر DOM Demo - DOM Based XSS
-
نسخه ی نمایشی - URI داده - ربودن پیوند Demo - Data URI - Link Hijack
-
نسخه ی نمایشی - نشانه گذاری آویزان/حملات بدون اسکریپت Demo - Dangling Markup/Scriptless Attacks
-
چگونه از XSS جلوگیری می کنید؟ How do you prevent XSS?
-
چگونه از XSS جلوگیری می کنید (صفحه 2) How do you prevent XSS (page 2)
-
نسخه ی نمایشی (پیشگیری)- AntiXss GetSafeHtmlFragment() Demo (Prevention)- AntiXss GetSafeHtmlFragment()
-
نسخه ی نمایشی (پیشگیری) - تعیین رمزگذاری UTF-8 Demo (Prevention)- Specifying UTF-8 Encoding
-
نسخه ی نمایشی (پیشگیری) - خط مشی امنیت محتوا Demo (Prevention)- Content Security Policy
-
مشکلات لیست سیاه/فیلتر کاراکتر Problems with blacklists / character filtering
-
چگونه از XSS جلوگیری می کنید (آخرین اما نه کم اهمیت) How do you prevent XSS (last but not least)
-
Request Validation را خاموش نکنید Don't turn off Request Validation
-
گزینه های رمزگذاری خود را بشناسید Know your encoding options
-
نسخه ی نمایشی (اصلاح) - رفع تکرار کننده فرم های وب Demo (Fix) - Fixing Web Forms Repeater
-
نسخه ی نمایشی (اصلاح) - رفع اسکریپت بدون اسکریپت/آویزان HTML Demo (Fix) - Fixing Scriptless / Dangling HTML
-
نسخه ی نمایشی (اصلاح) - رفع حملات مبتنی بر DOM Demo (Fix) - Fixing DOM based attacks
-
ابزار Tools
-
خلاصه Summary
-
اطلاعات اضافی/مراجع Additional Information / References
دستکاری پارامتر Parameter Tampering
-
معرفی Introduction
-
دستکاری پارامتر چیست؟ What is parameter tampering?
-
چگونه از آن بهره برداری می شود؟ How is it exploited?
-
دستکاری پارامتر MVC MVC Parameter Tampering
-
دستکاری پارامترهای فرم های وب Web Forms Parameter Tampering
-
مشکلات EventValidation با اسکریپت سمت سرویس گیرنده EventValidation issues with client side script
-
جلوگیری از دستکاری در MVC Preventing tampering in MVC
-
پیشگیری - عبارات منظم Preventions - Regular Expressions
-
پیشگیری - حاشیه نویسی داده ها Preventions - Data Annotations
-
داده های خود را تأیید کنید! Validate your data!
-
چند کلمه احتیاط کوچک A few minor words of caution
-
خلاصه Summary
-
اطلاعات اضافی/مراجع Additional Information / References
رمزگذاری و هش کردن Encryption and Hashing
-
معرفی Introduction
-
چرا باید رمزگذاری کنم؟ Why should I encrypt?
-
نحوه رمزگذاری - سمت پایگاه داده How to encrypt - database side
-
SQL - رمزگذاری با عبارت عبور SQL - Encrypt by passphrase
-
SQL - رمزگذاری توسط گواهی SQL - Encrypt by certificate
-
نحوه رمزگذاری - کد برنامه How to encrypt - application code
-
نحوه رمزگذاری - تنظیمات پیکربندی How to encrypt - configuration settings
-
اجبار SSL - MVC Forcing SSL - MVC
-
اجبار SSL - فرم های وب Forcing SSL - Web Forms
-
اجبار SSL - اطلاعات اضافی Forcing SSL - Additional Information
-
نصب SSL بر روی جعبه توسعه خود Installing SSL on your development box
-
درباره هشینگ About Hashing
-
هش ها چگونه مورد حمله قرار می گیرند؟ How are hashes attacked?
-
نمک چیست؟ What's a salt?
-
نسخه ی نمایشی - هش اساسی با نمک Demo - Basic hash with salt
-
نسخه ی نمایشی - حمله به نیروی هش (حتی با یک نمک!) Demo - Hash brute force attack (even with a salt!)
-
نسخه ی نمایشی ابزار - Hashcat Tool Demo - Hashcat
-
انتخاب رویکردهای مناسب Choosing the right approaches
-
پشتیبانی ارائه دهنده عضویت Membership provider support
-
اما من به عملکرد رمز عبور گم شده خود نیاز دارم! But I need my lost password functionality!
-
اطلاعات تکمیلی Additional Information
جعل درخواست بین سایتی (CSRF) Cross-Site Request Forgery (CSRF)
-
معرفی Introduction
-
CSRF چیست؟ What is CSRF?
-
CSRF چگونه مورد بهره برداری قرار می گیرد؟ How is CSRF exploited?
-
نسخه ی نمایشی - بهره برداری با استفاده از ایمیل image src Demo - Exploit using email image src
-
نسخه ی نمایشی - تکرار کلیدی است Demo - Repeatability is the key
-
نسخه ی نمایشی - CSRF از XSS Demo - CSRF from XSS
-
پست ها از من محافظت می کنند، اینطور نیست؟ POSTs protect me, don't they?
-
نسخه ی نمایشی - فرم های وب حمله با یک کلیک - تعامل کاربر جعل Demo - Web Forms One Click Attack - Forge user interaction
-
چگونه از CSRF جلوگیری می کنید؟ How do you prevent CSRF?
-
فرم های وب پیشگیری از CSRF Web Forms CSRF Prevention
-
پیشگیری از MVC CSRF MVC CSRF Prevention
-
خلاصه Summary
خود داری از خدمات Denial of Service
-
معرفی Introduction
-
چگونه از DoS بهره برداری می شود؟ How is DoS exploited?
-
نسخه ی نمایشی - بر مرورگر قربانی تأثیر می گذارد Demo - Affecting the victim's browser
-
نسخه ی نمایشی - انکار سرویس توزیع شده مبتنی بر مرورگر Demo - Browser based distributed denial of service
-
نسخه ی نمایشی - صفحه آهسته = هدف آسان Demo - Slow page = easy target
-
جلوگیری از DoS Preventing DoS
-
اطلاعات اضافی/مراجع Additional Information / References
مدیریت جلسه و ربودن Session Management and Hijacking
-
معرفی Introduction
-
پس زمینه مدیریت شناسه جلسه ASP.NET ASP.NET Session Id Management Background
-
نسخه ی نمایشی مدیریت جلسه Session Management Demo
-
چگونه می توان به جلسات حمله کرد؟ How can sessions be attacked?
-
نسخه ی نمایشی - سرقت یک جلسه Demo - stealing a session
-
جلوگیری از حملات جلسه Preventing Session Attacks
-
همگامسازی مهلتهای زمانی احراز هویت و زمانبندی جلسات Syncing Forms authentication timeouts and session timeouts
-
پیشگیری - حذف کوکی جلسه در ورود/خروج Preventing - Removing the session cookie on login/logout
-
پیشگیری - از جلسات بدون کوکی خودداری کنید Preventing - Avoid cookieless sessions
-
مدیران شناسه جلسه سفارشی Custom session id managers
-
اطلاعات تکمیلی Additional Information
https://donyad.com/d/11e7c3
Adam Tuliper
Adam Tuliper یک معمار نرم افزار با Cegedim است و بیش از 16 سال است که در حال توسعه نرم افزار است. او یک اسکرام مستر خبره و توسعه دهنده برنامه های کاربردی سازمانی MCPD است. آدام کار خود را در زمینه امنیت و مهندسی معکوس (بر اساس x86 - pre .NET) با جهت رفتن به حوزه حفاظت از نرم افزار و مبارزه با دزدی دریایی آغاز کرد. او از اوایل نسخه بتا دات نت عمیقاً درگیر داخلی های دات نت بوده است و در حال حاضر به طور گسترده با WCF، ASP.NET، SQL Server، MVC، C#، jQuery و Silverlight کار می کند. آدام بلندگوی انجمن INETA، نویسنده مجله MSDN، سخنران کنفرانس ملی با رتبه برتر است و به طور منظم در گروههای کاربری دات نت و اردوگاههای کد سخنرانی میکند. او علاوه بر توسعه، ممیزی های امنیتی و تست نفوذ را برای شرکت های بزرگ و کوچک به طور یکسان انجام داده است و واقعاً امنیت را دوست دارد.
نمایش نظرات