آموزش بهترین روش‌های امنیت API - آخرین آپدیت

سرفصل ها و درس ها

درک مبانی امنیت API Understanding API security fundamentals

• درک مفهوم اعتماد Understanding trust

• درک مفهوم ریسک Understanding risk

• استفاده از لایه‌های دفاعی Using defensive layers

به‌کارگیری اصول طراحی امن در APIها Applying secure design principles to APIs

• شروع طراحی امن Beginning secure design

• ریسک‌های زنجیره تامین Supply chain risks

• ملاحظات کلی General considerations

مدیریت اسرار و داده‌های خصوصی API Managing API secrets and private data

• ذخیره اسرار در کد Storing secrets in code

• دمو: یافتن اسرار با ابزارهای اتوماسیون Demo: Finding secrets with automation

• استفاده موثر از رمزنگاری Using cryptography effectively

• دمو: شکستن هش‌ها Demo: Cracking hashes

• رمزنگاری متقارن و نامتقارن Symmetric and asymmetric encryption

• دمو: اسکن گواهینامه‌های TLS Demo: Scanning TLS certificates

• استفاده از امضاهای دیجیتال Using signatures

• دمو: استخراج اسرار از فایل‌های اجرایی و حافظه Demo: Retrieving secrets from executables and memory

• رمزنگاری پایگاه داده Database encryption

پیاده‌سازی مکانیزم‌های احراز هویت API Implementing API authentication mechanisms

• تایید ایمیل Email confirmation

• ارزیابی روش‌های مدرن احراز هویت Assessing modern authentication

• دمو: تست توکن JWT Demo: Testing a JWT

• پروتکل OpenID Connect در APIها OpenID Connect in APIs

• درک احراز هویت ماشین به ماشین (M2M) Understanding machine to machine authentication

طراحی و ارزیابی تعیین سطح دسترسی API Designing and evaluating API authorization

• محورهای تعیین سطح دسترسی The axis of authorization

• کنترل دسترسی عمودی Vertical access control

• آسیب‌پذیری BOLA (سطح شیء) Broken object level authorization

• دمو: نقص در کنترل دسترسی افقی Demo: Broken horizontal access control

• آسیب‌پذیری تعیین سطح دسترسی در ویژگی‌های شیء Broken object property level authorization

• دمو: حمله Mass Assignment Demo: Mass assignment

تحلیل و پیشگیری از آسیب‌پذیری‌های تزریق در API Analyzing and preventing API injection vulnerabilities

• مبانی حملات تزریق Injection basics

• دمو: تزریق SQL (SQL Injection) Demo: SQL injection

• سایر اشکال رایج تزریق Other common forms of injection

• دمو: جعل درخواست سمت سرور (SSRF) Demo: Server-side request forgery

• روش‌های دفاع در برابر تزریق Injection defenses

طراحی APIهای تاب‌آور: استرس، خطا و ورودی‌های غیرمنتظره Designing resilient APIs: Stress, failure, and unexpected input

• مدیریت شرایط استثنایی Handling exceptional conditions

• مشکلات منطق کسب‌وکار (Business Logic) Business logic issues

• خطاهای مدیریت حافظه Memory management failures

• آسیب‌پذیری‌های Deserialization Deserialization vulnerabilities

• دمو: اجرای کد از راه دور (RCE) با Deserialization Demo: Remote code execution with deserialization

• درک تاب‌آوری اپلیکیشن Understanding application resilience

• ریسک‌ها و دفاع‌ها در API شما Risks and defenses in your API