پیشنهاد فرادرس

10 ریسک امنیتی ASP.NET در OWASP

دسته بندی ها: دات نت ، آموزش های پلورال سایت (Pluralsight) ، آموزش ASP.NET

10-ریسک-امنیتی-asp-net-در-owasp

پروژه open Web Application Security Project یا OWASP  یک پروژه غیر دولتی مورد تایید در سر تا سر جهان است که به منظور بالا بردن سطح امنیت در برنامه های نرم افزاری ایجاد شده است. ماموریت این پروژه این است که مسائل امنیتی نرم افزاری را به طور روشن بیان می کند و افراد و شرکت ها بنا به نیاز خود به این لیست ها مراجه می کنند و به طور کاملا رایگان از آن استفاده می کنند و با آخرین و بالا ترین مشکلات امنیتی آشنا می شوند.

این پروژه یک چارچوب کاری برای انجام عملیات تست نفوذ ارائه میدهد و براساس ان در اخر عملیات تست نفوذ براساس رعایت یا عدم رعایت چارچوب های مورد تایید خود به کاربر اطلاعاتی در مورد سطح امنیت وبسایت و چگونگی بالابردن ان اطلاعاتی میدهد.

این مجموعه آموزشی (OWASP Top 10 Web Application Security Risks for ASP.NET) محصول PluralSight  است. و در سطح متوسط  و مدت زمان 8 ساعت و 6 دقیقه تهیه شده است.

خلاصه سر فصل های این مجموعه:

  • استفاده از امنیت در عمق
  • مروری OWASP و رتبه بندی ریسک
  • آشنایی با  SQL injection
  • تعریف داده های بی اعتبار
  • نمونه پروژه: SQL parameterisation  درون خطی
  • نمونه پروژه : Whitelisting داده های بی اعتبار
  • Injection از طریق پروسیجرهای ذخیره شده
  • شناخت XSS
  • درک XSS
  • مفاهیم رمزگذاری خروجی
  • اجرای کدگذاری خروجی
  • نمونه پروژه: رمزگذاری خروجی در فرم های وب
  • نمونه پروژه: رمزگذاری خروجی در MVC
  • نمونه پروژه: اعتبارسنجی درخواست ASP.NET
  • نمونه پروژه: آناتومی حمله
  • نمونه پروژه: ارائه دهنده عضویت در ASP.NET برای احراز هویت
  • چه چیزی حمله CSRF را ممکن می کند.
  • نمونه پروژه:  پیکربندی خطاهای سفارشی
  • نمونه پروژه: ایمنی ردیابی فرم های وب
  • نمونه پروژه :  نگه داشتن چارچوب فعلی با NuGet
  • نمونه پروژه: رمزگذاری نقاط حساس در web.config
  • آشنایی با ذخیره سازی  و هش کردن
  • کند کردن هش با ارائه  عضو جدید
  • پیاده سازی رمزنگاری قوی تر
  • آشنایی با رمزنگاری متقارن و نامتقارن
  • نمونه پروژه: آشنایی با رمزنگاری متقارن و نامتقارن
  • نمونه پروژه: رمزنگاری متقارن با استفاده از DPAPI
  • نمونه پروژه : آشنایی با کوکی های امن  و فرم های احراز هویت
  • نمونه پروژه : وادار کردن فرم های وب به استفاده از HTTPS
  • نمونه پروژه : نیاز به  HTTPS در کنترل MVC
  • و...

لیست سر فصل های لاتین مجموعه:

	Introdution	 		
Introduction	 		
Who's getting hacked?	 		
Who's doing the hacking?	 		
OWASP and the Top 10	 		
Applying security in depth	 		
	Injection	 		
Introduction	 		
OWASP overview and risk rating	 		
Demo: Anatomy of an attack	 		
Risk in practice: LulzSec and Sony	 		
Understanding SQL injection	 		
Defining untrusted data	 		
Demo: The principle of least privilege	 		
Demo: Inline SQL parameterisation	 		
Demo: Stored procedure parameterisation	 		
Demo: Whitelisting untrusted data	 		
Demo: Entity Framework’s SQL parameterisation	 		
Demo: Injection through stored procedures	 		
Demo: Injection automation with Havij	 		
Summary	 		
	Cross Site Scripting (XSS)	 		
Introduction	 		
OWASP overview and risk rating	 		
Demo: Anatomy of an attack	 		
Risk in practice: My Space and Samy	 		
Understanding XSS	 		
Output encoding concepts	 		
Demo: Implementing output encoding	 		
Demo: Output encoding in web forms	 		
Demo: Output encoding in MVC	 		
Demo: Whitelisting allowable values	 		
Demo: ASP.NET request validation	 		
Demo: Reflective versus persistent XSS	 		
Demo: Native browser defences	 		
Demo: Payload obfuscation	 		
Summary	 		
	Broken Authentication and Session Management	 		
Introduction	 		
OWASP overview and risk rating	 		
Demo: Anatomy of an attack	 		
Risk in practice: Apple's session fixation	 		
Persisting state in a stateless protocol	 		
The risk of session persistence in the URL versus cookies	 		
Demo: Securely configuring session persistence	 		
Demo: Leveraging ASP.NET membership provider for authentication	 		
Customising session and forms timeouts to minimise risk windows	 		
Siding versus fixed forms timeout	 		
Other broken authentication patterns	 		
Summary	 		
	Insecure Direct Object References	 		
Introduction	 		
OWASP overview and risk rating	 		
Demo: Anatomy of an attack	 		
Risk in practice: Citibank	 		
Understanding direct object references	 		
Demo: Implementing access controls	 		
Understanding indirect reference maps	 		
Demo: Building an indirect reference map	 		
Obfuscation via random surrogate keys	 		
Summary	 		
	Cross Site Request Forgery (CSRF)	 		
Introduction	 		
OWASP overview and risk rating	 		
Demo: Anatomy of an attack	 		
Risk in practice: Compromised Brazilian modems	 		
What makes a CSRF attack possible	 		
Understanding anti-forgery tokens	 		
Demo: Implementing an anti-forgery token in MVC	 		
Demo: Web forms approach to anti-forgery tokens	 		
CSRF fallacies and browser defences	 		
Summary	 		
	Security Misconfiguration	 		
Introduction	 		
OWASP overview and risk rating	 		
Demo: Anatomy of an attack	 		
Risk in practice: ELMAH	 		
Demo: Correctly configuring custom errors	 		
Demo: Securing web forms tracing	 		
Demo: Keeping frameworks current with NuGet	 		
Demo: Encrypting sensitive parts of the web.config	 		
Demo: Using config transforms to apply secure configurations	 		
Demo: Enabling retail mode on the server	 		
Summary	 		
	Insecure Cryptographic Storage	 		
Introduction	 		
OWASP overview and risk rating	 		
Demo: Anatomy of an attack	 		
Risk in practice: ABC passwords	 		
Understanding password storage and hashing	 		
Understanding salt and brute force attacks	 		
Slowing down hashes with the new Membership Provider	 		
Other stronger hashing implementations	 		
Things to consider when choosing a hashing implementation	 		
Understanding symmetric and asymmetric encryption	 		
Demo: Symmetric encryption using DPAPI	 		
What's not cryptographic	 		
Summary	 		
	Failure to Restrict URL Access	 		
Introduction	 		
OWASP overview and risk rating	 		
Demo: Anatomy of an attack	 		
Risk in practice: Apple AT&T leak	 		
Demo: Access controls in ASP.NET part 1: web.config locations	 		
Demo: Access controls in ASP.NET part 2: The authorize attribute	 		
Demo: Role based authorisation with the ASP.NET Role Provider	 		
Other access controls risk and misconceptions	 		
Summary	 		
	Insufficient Transport Layer Protection	 		
Introduction	 		
OWASP overview and risk rating	 		
Demo: Anatomy of an attack	 		
Risk in practice: Tunisian ISPs	 		
Demo: Understanding secure cookies and forms authentication	 		
Demo: Securing other cookies in ASP.NET	 		
Demo: Forcing web forms to use HTTPS	 		
Demo: Requiring HTTPS on MVC controllers	 		
Demo: Mixed mode HTTPS	 		
HTTP strict transport security	 		
Other insufficient HTTPS patterns	 		
Other HTTPS considerations	 		
Summary	 		
	Unvalidated Redirects and Forwards	 		
Introduction	 		
OWASP overview and risk rating	 		
Demo: Anatomy of an attack	 		
Risk in practice: US government websites	 		
Understanding the value of unvalidated redirects to attackers	 		
Demo: implementing a whitelist	 		
Demo: implementing referrer checking	 		
Other issues with the unvalidated redirect risk	 		
Summary

حجم فایل:1904MB

آیا این نوشته را دوست داشتید؟
Pluralsight OWASP Top 10 Web Application Security Risks for ASP.NET

پیشنهاد فرادرس

امید در 1393/05/06 ساعت 09:53

خیلی ممنونم از گذاشتن این فیلم درباره استاندارد امنیتی. خیلی کارم رو راه انداخت