آموزش جامع ۱۰ ریسک امنیتی برتر برنامه‌های وب OWASP - ویرایش ۲۰۲۵ - آخرین آپدیت

سرفصل ها و درس ها

مقدمه Introduction

• حملات OWASP Top 10 چیستند What is OWASP Top 10 Web Attacks

• در این دوره چه خواهید آموخت What You Will Learn from This Course

مفاهیم بنیادی در برنامه‌های وب Foundational Concepts in Web application

• تفاوت بین وب سرور و برنامه وب Difference Between Web Server And Web Application

• وب پروکسی سرور Web Proxy Server

• معماری درخواست و پاسخ وب Web Request And Response Architecture

کنترل دسترسی شکسته رتبه(01) Broken Access Control - Rank(01)

• تئوری کنترل دسترسی شکسته Broken Access Control Theory

• آزمایشگاه (۰۱) قابلیت‌های مدیریت بدون حفاظت Lab (01) Unprotected admin functionality

• آزمایشگاه (۰۲) قابلیت‌های مدیریت بدون حفاظت با URL غیرقابل پیش‌بینی Lab (02) Unprotected admin functionality with unpredictable URL

• آزمایشگاه (۰۳) کنترل نقش کاربر توسط پارامتر درخواست Lab (03) User role controlled by request parameter

• آزمایشگاه (۰۴) امکان تغییر نقش کاربر در پروفایل کاربری Lab (04) User role can be modified in user profile

• آزمایشگاه (۰۵) دور زدن کنترل دسترسی مبتنی بر URL Lab (05) URL-based access control can be circumvented

• آزمایشگاه (۰۶) کنترل شناسه کاربر توسط پارامتر درخواست Lab (06) User ID controlled by request parameter

خطاهای رمزنگاری رتبه(02) Cryptographic Failures - Rank(02)

• تاریخچه رمزنگاری History of Cryptography

• انواع رمزنگاری Types of Cryptography

• خطاهای رمزنگاری + آزمایشگاه Cryptographic Failures + LAB

تزریق (Injection) رتبه(03) Injection - Rank(03)

• مفاهیم تزریق جاوااسکریپت (XSS) و XSS ذخیره شده JavaScript (XSS) Injection & Stored XSS Concepts

• آزمایشگاه (۰۱) XSS ذخیره شده در کانتکست HTML بدون کدگذاری Lab (01) Stored XSS into HTML context with nothing encoded

• آزمایشگاه (۰۲) XSS ذخیره شده در اتریبیوت href با کدگذاری HTML نقل‌قول‌ها Lab (02) Stored XSS into anchor href attribute with double quotes HTML-encoded

• مفاهیم XSS منعکس شده (Reflected) Reflected XSS Concepts

• آزمایشگاه (۰۱) XSS منعکس شده در کانتکست HTML بدون کدگذاری Lab (01) Reflected XSS into HTML context with nothing encoded

• آزمایشگاه (۰۲) XSS منعکس شده در اتریبیوت با کدگذاری HTML علامت‌های زاویه Lab (02) Reflected XSS into attribute with angle brackets HTML-encoded

• آزمایشگاه (۰۳) XSS منعکس شده در رشته جاوااسکریپت با کدگذاری HTML علامت‌های زاویه Lab (03)Reflected XSS into a JavaScript string with angle brackets HTML encoded

• مفاهیم XSS مبتنی بر DOM DOM-based XSS Concepts

• آزمایشگاه (۰۱) DOM XSS در سینک document.write با استفاده از سورس location.search Lab (01) DOM XSS in "document.write" sink using source "location.search"

• آزمایشگاه (۰۲) DOM XSS در سینک innerHTML با استفاده از سورس location.search Lab (02) DOM XSS in "innerHTML" sink using source "location.search"

• آزمایشگاه (۰۳) DOM XSS در اتریبیوت href جی‌کوئری با استفاده از location.search Lab (03) DOM XSS in jQuery anchor "href" attribute sink using "location.search"

• آزمایشگاه (۰۴) DOM XSS ذخیره شده Lab (04) Stored DOM XSS

• مفاهیم تزریق SQL (SQL Injection) SQL Injection Concepts

• آزمایشگاه (۰۱) آسیب‌پذیری SQL injection در عبارت WHERE برای بازیابی داده‌های مخفی Lab (01) SQL injection vulnerability in WHERE clause allowing retrieval of hidde

• آزمایشگاه (۰۲) آسیب‌پذیری SQL injection برای دور زدن صفحه ورود Lab (02) SQL injection vulnerability allowing login bypass

• آزمایشگاه (۰۳) حمله SQL injection و استعلام نوع و نسخه دیتابیس در Oracle Lab (03) SQL injection attack, querying the database type and version on Oracle

• آزمایشگاه (۰۴) حمله SQL injection و استعلام نوع و نسخه دیتابیس در MySQL Lab (04) SQL injection attack, querying the database type and version on MySQL

• آزمایشگاه (۰۵) حمله SQL injection و لیست کردن محتویات دیتابیس در غیر Oracle Lab (05) SQL injection attack, listing the database contents on non-Oracle db

• مفاهیم تزریق دستورات سیستم‌عامل (OS Command Injection) OS Command injection Concepts

• آزمایشگاه (۰۱) تزریق دستورات سیستم‌عامل، مورد ساده Lab (01) OS command injection, simple case

• آزمایشگاه (۰۲) تزریق دستورات سیستم‌عامل کور (Blind) با تاخیر زمانی Lab (02) Blind OS command injection with time delays

طراحی ناامن رتبه(04) Insecure Design - Rank(04)

• مفاهیم طراحی ناامن Insecure Design Concepts

• آزمایشگاه (۰۱) اعتماد بیش از حد به کنترل‌های سمت کلاینت Lab (01) Excessive trust in client-side controls

• آزمایشگاه (۰۲) منطق شکسته در بازنشانی رمز عبور Lab (02) Password reset broken logic

تنظیمات نادرست امنیتی رتبه(05) Security Misconfiguration - Rank(05)

• مفاهیم تنظیمات نادرست امنیتی Security Misconfiguration Concepts

• آزمایشگاه (۰۱) تنظیمات نادرست امنیتی در Metasploitable2 Linux Lab (01) Security Misconfiguration in Metasploitable2-Linux

اجزای آسیب‌پذیر و قدیمی رتبه(06) Vulnerable and Outdated Components - Rank(06)

• مفاهیم اجزای آسیب‌پذیر و قدیمی Vulnerable and Outdated Components Concepts

• CVE چیست و چه نقشی در اجزای آسیب‌پذیر و قدیمی دارد؟ What is a CVE, and what is its role in Vulnerable and Outdated Components?

خطاهای شناسایی و احراز هویت رتبه(07) Identification and Authentication Failures - Rank(07)

• مفاهیم خطاهای شناسایی و احراز هویت Identification and Authentication Failures Concepts

• آزمایشگاه (۰۱) منطق شکسته در بازنشانی رمز عبور Lab (01) Password reset broken logic

• آزمایشگاه (۰۲) کرک کردن رمز عبور به صورت آفلاین Lab (02) Offline password cracking

خطاهای یکپارچگی نرم‌افزار و داده‌ها رتبه(08) Software and Data Integrity Failures - Rank(08)

• مفاهیم خطاهای یکپارچگی نرم‌افزار و داده‌ها Software and Data Integrity Failures Concepts

خطاهای ثبت وقایع و مانیتورینگ امنیتی رتبه(09) Security Logging and Monitoring Failures - Rank(09)

• مفاهیم خطاهای ثبت وقایع و مانیتورینگ امنیتی Security Logging and Monitoring Failures Concepts

جعل درخواست سمت سرور (SSRF) رتبه(10) Server-Side Request Forgery (SSRF) - Rank(10)

• مفاهیم جعل درخواست سمت سرور (SSRF) Server-Side Request Forgery (SSRF) Concepts

• آزمایشگاه (۰۱) SSRF پایه علیه سرور محلی Lab (01) Basic SSRF against the local server

تغییرات امنیتی OWASP (۲۰۲۱ ← ۲۰۲۵) OWASP Top Security Changes (2021 → 2025)

• تفاوت بین OWASP 2021 و OWASP 2025 چیست What is the difference between OWASP:2021 and OWASP:2025

• مفاهیم A10:2025 مدیریت نادرست شرایط استثنایی A10:2025 - Mishandling of Exceptional Conditions Concepts

• آزمایشگاه (۰۱) افشای اطلاعات در پیام‌های خطا Lab (01) Information disclosure in error messages

• بعد از یادگیری OWASP Top 10 چه باید کرد؟ What should you do after OWASP top 10?