آموزش ابتدا خودتان را هک کنید: چگونه می توان تخلف سایبری را ادامه داد

سرفصل ها و درس ها

مقدمه Introduction

• درباره دوره About the course

• چرا اول خودتان را هک کنید Why hack yourself first

• معرفی یک وب سایت آسیب پذیر - Supercar Showdown Introducing a vulnerable website – Supercar Showdown

• استفاده از ابزارهای توسعه دهنده Chrome Using Chrome's developer tools

• نظارت و نوشتن درخواست ها با Fiddler Monitoring and composing requests with Fiddler

• تغییر درخواست ها و پاسخ ها در Fiddler Modifying requests and responses in Fiddler

محافظت از لایه حمل و نقل Transport Layer Protection

• مقدمه Introduction

• سه هدف محافظت از لایه حمل و نقل The three objectives of transport layer protection

• درک یک مرد در حمله میانه Understanding a man in the middle attack

• محافظت از داده های حساس در حین انتقال Protecting sensitive data in transit

• خطر ارسال کوکی از طریق اتصالات ناامن The risk of sending cookies over insecure connections

• نحوه بارگذاری فرمهای ورود به سیستم از طریق HTTP خطرناک است How loading login forms over HTTP is risky

• بهره برداری از محتوای حالت مختلط Exploiting mixed-mode content

• سربرگ HSTS The HSTS header

• خلاصه Summary

Cross Site Scripting (XSS) Cross Site Scripting (XSS)

• مقدمه Introduction

• درک اطلاعات غیرقابل اعتماد و بهداشت Understanding untrusted data and sanitisation

• ایجاد روش های ضد عفونی ورودی Establishing input sanitisation practices

• درک رمزگذاری XSS و خروجی Understanding XSS and output encoding

• شناسایی استفاده از رمزگذاری خروجی Identifying the use of output encoding

• تحویل بار از طریق XSS منعکس شده Delivering a payload via reflected XSS

• آزمایش خطر ابتلا به XSS مداوم Testing for the risk of persistent XSS

• سربرگ X-XSS-Protection The X-XSS-Protection header

• خلاصه Summary

کلوچه ها Cookies

• مقدمه Introduction

• کوکی 101 Cookies 101

• درک کوکی های HttpOnly Understanding HttpOnly cookies

• درک کوکی های امن Understanding secure cookies

• محدود کردن دسترسی کوکی توسط مسیر Restricting cookie access by path

• کاهش خطر با انقضا کوکی Reducing risk with cookie expiration

• استفاده از کوکی های جلسه برای کاهش بیشتر خطر Using session cookies to further reduce risk

• خلاصه Summary

افشای اجرای داخلی Internal Implementation Disclosure

• مقدمه Introduction

• چگونه مهاجم یک نمایه ریسک وب سایت ایجاد می کند How an attacker builds a website risk profile

• افشای هدر پاسخ سرور Server response header disclosure

• مکان یابی وب سایت های در معرض خطر Locating at-risk websites

• اثر انگشت HTTP سرورها HTTP fingerprinting of servers

• افشای از طریق robots.txt Disclosure via robots.txt

• خطرات موجود در منبع HTML The risks in HTML source

• نشت پیام خطای داخلی Internal error message leakage

• عدم کنترل دسترسی به داده های تشخیصی Lack of access controls on diagnostic data

• خلاصه Summary

دستکاری پارامتر Parameter Tampering

• مقدمه Introduction

• شناسایی داده های غیرقابل اعتماد در پارامترهای درخواست HTTP Identifying untrusted data in HTTP request parameters

• گرفتن درخواست ها و دستکاری پارامترها Capturing requests and manipulating parameters

• دستکاری منطق برنامه از طریق پارامترها Manipulating application logic via parameters

• در حال آزمایش اعتبار سنجی سمت سرور Testing for missing server side validation

• درک مدل الزام آور Understanding model binding

• اجرای یک حمله تکلیف دسته جمعی Executing a mass assignment attack

• دستکاری فعل HTTP HTTP verb tampering

• تست فاز Fuzz testing

• خلاصه Summary

تزریق SQL SQL Injection

• طرح کلی Outline

• درک تزریق SQL Understanding SQL injection

• آزمایش خطرات تزریق Testing for injection risks

• کشف ساختار پایگاه داده از طریق تزریق Discovering database structure via injection

• برداشت اطلاعات از طریق تزریق Harvesting data via injection

• حملات خودکار با Havij Automating attacks with Havij

• تزریق SQL کور Blind SQL injection

• الگوهای برنامه امن Secure app patterns

• خلاصه Summary

حملات متقابل سایت Cross Site Attacks

• مقدمه Introduction

• درک حملات متقابل سایت Understanding cross site attacks

• آزمایش ریسک جعل درخواست متقابل سایت Testing for a cross site request forgery risk

• نقش نشانه های ضد جعل The role of anti-forgery tokens

• آزمایش جعل درخواست متقابل سایت در برابر API ها Testing cross site request forgery against APIs

• نصب حمله کلیک کردن Mounting a clickjacking attack

• خلاصه Summary

مدیریت حساب Account Management

• مقدمه Introduction

• درک قدرت رمز عبور و بردارهای حمله Understanding password strength and attack vectors

• محدود کردن نویسه ها در رمزهای عبور Limiting characters in passwords

• ارسال اعتبار نامه برای ایجاد حساب Emailing credentials on account creation

• شمارش حساب Account enumeration

• انکار سرویس از طریق بازنشانی رمز عبور Denial of service via password reset

• ایمن سازی صحیح فرایندهای بازنشانی Correctly securing the reset processes

• ایجاد فضای ذخیره سازی ناامن رمز عبور Establishing insecure password storage

• آزمایش خطرات در ویژگی "مرا به خاطر بسپار" Testing for risks in the 'remember me' feature

• احراز هویت مجدد قبل از اقدامات اصلی Re-authenticating before key actions

• در حال آزمایش احراز هویت بی رحمانه Testing for authentication brute force

• خلاصه Summary