امنیت وب و حفاظت از اطلاعات کاربران آنقدر اهمیت خواهد داشت که صدها ساعت دوره و کلاس هم جهت رسیدن به این هدف کافی نخواهد بود.
مجموعه «کنیگتو» در تلاش است در کنار «آموزش زبان های برنامه نویسی» که به شدت فراگیر شده است، امنیت بخشی از کُد ها را نیز آموزش و فراگیر کند.
 از اینرو؛ سعی شد در دوره «مقدماتی و رایگان امنیت وب» مباحث بسیار کلی مطرح و سایر موارد تخصصی به دوره ی پادشاهی آن موکول شود.

پیش از تهیه دوره ی جاری، بیش از 300 صفحه جزوه تدوین و براساس آن ضبط ویدیوهای آموزشی هدفمند آغاز گردید. سرفصل ها براساس نیاز روز و تکنولوژی های عصر حاضر تهیه شده است. از آنجایی که در پیاده سازی وب سایت های حال حاضر، نقش کتابخانه های جاوااسکریپ بسیار پر است، تمرکز بر امنیت بخشی کُدهای کتابخانه های JavaScript بوده است. برخی از این تکنولوژی ها و زبان های وابسته به جاوااسکریپ، میتوان به Microservice ها، SPA (Single Page Application) ها و یا API ها اشاره داشت.
ناگفته نماند که زبان هایی چون Angular، Blazor و ... نیز به طور مستقیم درگیر استفاده از کتابخانه های JavaScript هستند.

پیش نیاز دوره:

همانطور که در ویدیوی ابتدایی معرفی دوره بیان شد، این دوره مناسب عزیزانی است که تسلط نسبی بر HTML، JavaScript و یکی از زبان های پیاده سازی وب داشته باشند. در غیر این صورت، خواهشمندیم که از تهیه دوره پرهیز کنید.

سرفصل ها:

نکته: ممکن است اولویت و محتوای سرفصل ها در طول ضبط دوره تغییر کند.

ویدیوهای به پایان رسیده و آماده نمایش ...

• فصل یک: مقدماتی و تعاریف کلی
  • آشنایی با تهدیدات رایج وب
  • آشنایی و کارکرد OWASP Top 10
  • 10 حمله هکری و رایج وب سایت ها
• فصل دو: مفاهیم ابتدایی و کلیات مهم امنیت
  • Content delivery network (CDN) چیست؟
  • Browser Rendering Pipeline و سیر لود یک صفحه وب
  • Document Object Model (DOM) چیست؟
  • نقش inspect و devTools در بررسی DOM
  • آشنایی با نرم افزار Postman
  • آشنایی با codepen و jsfiddle
  • curl چیست؟ + کاربرد آن
  • Same-Origin Policy (SOP)
  • Cross-origin resource sharing (CORS)
    • CORS (1): چیستی؟
    • CORS (2): پیکربندی گام به گام
    • CORS (3): پیاده سازی در یک پروژه واقعی
      • در این مثال real-world با استفاده از پروژه های ASP.NET WEB CORE MVC و ASP.NET CORE API یک اتصال واقعی پیاده سازی شده است.
  • چیستی Referrer و نقش حیاتی آن
  • Hijack چیست؟
  • Tampering چیست؟
  • ()Eval چیست؟
  • Base64-Encoded Algorithms
  • Same-origin vs Cross-origin
• فصل سه: نقش JavaScript و نفوذپذیری آن
  • ریسک های امنیتی JavaScript
  • چگونگی ذخیره سازی JavaScript و مسیر فایل ها
  • کجا JavaScript نوشته میشود؟
  • مثال عملی از نفوذپذیری JavaScript
  • Minification فایل های JavaScript
  • Obfuscation فایل های JavaScript (بسیار مهم)
• فصل چهار:Ajax و نگرانی های امنیتی آن
  • Ajax و JQuery
  • ارتباط Ajax و Backend
  • گرفتن اطلاعات API با Ajax
  • موارد کلی امنیت بخشی به Ajax
• فصل پنج: Authentication, Authorization & Session Management
  • چیستی Authentication و Authorization
  • State & Stateless
  • Session ها (جهت مطالعه مقاله «بررسی تخصصی تفاوت‌ها، شباهت‌ها و کارکردهای Cookie و Session در توسعه وب» اینجا کلیک کنید)
  • Cookie ها (جهت مطالعه مقاله «بررسی تخصصی تفاوت‌ها، شباهت‌ها و کارکردهای Cookie و Session در توسعه وب» اینجا کلیک کنید)
  • تنظیمات SameSite کوکی
  • Header در AJAX و اهمیت آن در نفوذ
  • Header & CORS
  • JWT
    • JWT چیست؟
    • پروژه عملی 1
      • پروژه عملی پیاده سازی JWT با ASP.NET CORE MVC (بخش اول)
      • پروژه عملی پیاده سازی JWT با ASP.NET CORE MVC (بخش دوم)
    • پروژه عملی 2
      • پروژه عملی پیاده سازی JWT با ASP.NET CORE MVC + API
  • OAuth2
    • OAuth و یا Open Authorization چیست؟
    • پروژه عملی پیاده سازی OAuth2 توسط گوگل (بخش اول)
    • پروژه عملی پیاده سازی OAuth2 توسط گوگل (بخش دوم)
  • Broken Object Level Authorization (BOLA)
• فصل شش: Session ها
  • Session چیست؟
  • Session دردات نت
  • مثال عملی پیاده سازی Session در دات نت
  • چرا Cookie بعنوان میکانیزم Session
  • امن سازی Cookie ها
    • چیستی؟
    • امن سازی Cookie ها (مثال عملی با Javascript)
    • امن سازی Cookie ها (مثال عملی با ASP.NET CORE)
  • sessionStorage
    • چیستی sessionStorage
    • مثال عملی پیاده سازی sessionStorage
  • ​indexedDb
    • چیستی IndexedDb
    • مثالی کاربردی از IndexedDb
    • امن سازی IndexedDb
  • Session Fixation
    • چیستی Session Fixation
    • پیاده سازی Session Fixation بصورت عملی با ASP.NET CORE + نفوذپذیری
  • Session Timeout Policies
• فصل هفت: Role of Validation
  • Client Validation
    • چیستی Client Validation
    • پیاد سازی عملی Client Validation با JavaScript
    • پیاده سازی عملی Server Validation با ASP.NET CORE MVC
  • Input sanitization
    • چیستی Input sanitization
    • پیاده سازی عملی Input sanitization با JavaScript با دو سمپل
    • تحلیل کارکرد Input sanitization
    • شبیه سازی Input sanitization سمت سرور با ASP.NET CORE MVC
  • اهمیت Handle Errors در امنیت وب
• فصل هشت: حمله XSS (مخفف Cross-Site Scripting)
  نکته: به دلیل اشتراکات فراوانِ تکنیکی و رویکردی حمله موسوم به XSS با حملاتی چون JavaScript Execution Risks و یا JavaScript Injection، تمام مباحث آنها، ذیل همین فصل جای گرفته و از جداسازی خودداری شده است.
  • چیستی حملات XSS
  • نفود و سرقت Cookie ها (مثلا عملی و واقعی نفوذ)
  • تحلیل مثال عملی نفوذ و سرقت Cookie ها + راه های پیشگیری
  • نفود به سبک Log KeyStrokes
  • مثال عملی نفوذ به سبک سبک Log KeyStrokes (با ASP.NET CORE و JS)
  • نفوذ به سبک Redirect Users
  • نفوذ به سبک Perform Actions as the User
  • تقسیم بندی کلی XSS
  • Content Security Policy (CSP)
  • SIR (Sub Resource Integrity)
  • بررسی نگرانی های JS Templating Engines
  • استفاده نادرست از JSONP
  • بررسی نفوذ به سبک postMessage
  • نگرانی های استفاده از دستور ()eval
  • نگرانی های استفاده از دستور ()New Function
• فصل نهم: حمله (2): WebSocket
  • آشنایی با WebSocket ها
  • پروژه عملی پیاده سازی چت آنلاین با WebSocket
  • آسیب پذیری های WebSocket
  • بررسی آسیب پذیری های پروژه عملی چت آنلاین
• فصل دهم: حمله (3): CSRF (Cross-Site Request Forgery) (بسیار بسیار مهم)
  • چیستی CSRF و شباهت هایش با XSS
  • پیاده سازی عملی نفوذ با CSRF کمک ASP.NET CORE
  • رایجترین راه های جلوگیری از نفوذ CSRF
  • CSRF Token
  • امن سازی پروژه پیاده سازی نفود با CSRF
• فصل یازدهم: حمله (4): Social Engineering & Phishing
  • کلیات بحث Social Engineering & Phishing
• فصل دوازدهم: حمله (5): SQLi - SQL INJECTION
  • چیستی حمله SQLi
  • آشنایی با مهمترین دستورات SQL (درج، آپدیت - حذف و نمایش)
  • تست عملی مهمترین دستورات SQL در MSSQL
  • پیاده سازی عملی SQLi در MSSQL
  • پیاده سازی عملی پروژه برای حمله SQLi (بخش یک) - پیاده سازی با ASP.NET CORE MVC (شبیه سازی هک)
  • پیاده سازی عملی پروژه برای حمله SQLi (بخش یک) - پیاده سازی با ASP.NET CORE MVC (شبیه سازی هک - ایمن سازی)
  • روش ORM جهت جلوگیری از حملات SQLi
  • بررسی مهمترین اقدامات علیه SQLi
• فصل سیزدهم: حمله (6): API و نگرانی های آن
  • چیستی و آشنایی با API
  • لیست نگرانی ها و حملات بر API
  • انواع API ها
    • RESTFull
    • GraphQl
    • SOAP
    • gRPC
  • پیاده سازی عملی ازAPI مدل RESTFull
  • پیاده سازی عملی ازAPI مدل GraphQl
  • Rate Limiting
  • پیاده سازی عملی از Rate Limiting
  • API Keys Leak
  • انواع درخواست ها به API  و نگرانی های امنیتی Fetch API vs XMLHttpRequest 
  • پیاده سازی عملی درخواست ها (سه روش)
  • امن سازی RESTFull
  • پیاده سازی عملی امن سازی RestFull
• فصل چهاردهم: حمله (7): Brute Force
  • معرفی حمله Brute Force
  • پیاده سازی و شبیه سازی عملی از حمله Brute Force
  • راه های دفاعی حملات Brute Force
• فصل پانزدهم: حمله (8): Rainbow Table
  • آشنایی با حملات موسوم به Rainbow Table
  • الگورتیم های رمزنگاری Hashing Best Practices (bcrypt - scrypt - argon2)
  • پیاده سازی الگورتیم های رمزنگاری
  • Salting و Peppering
• فصل شانزدهم: حمله (9): File Upload Vulnerabiltieis
  • مقدمات File Upload Vulnerabilities
  • بررسی نگرانی های کلی
  • جلوگیری از حملات با Validations
  • پیاده سازی عملی Validations ها (با JavaScript و ASP.NET CORE MVC)
  • File Inclusion Attacks
  • File-based DoS Attacks
  • XSS & File Upload Vulnerabilities
  • Malware Distribution
  • MIME Sniffing
  • Content Disposition
  • دانلود مستقیم و غیرمستقیم فایل
  • Directory Browsing
  • ساخت لینک فایل موقت
  • Handling File Uploads Securely in AJAX Requests
  • پیاده سازی عملی Signature در Backend (با ASP.NET CORE MVC)
  • Sandboxing Uploads - هاست های دانلود
• فصل هفدهم: حمله (10): DDoS
  • کلیات و مقدمات حملات موسوم به DDoS
• فصل هجدهم: مسائل پیشرفته امنیتی
  • DOM Clobbering
  • Prototype Pollution
  • reCaptcha V3 Google - قسمت اول (آموزش ثبت نام، ایجاد کلید های siteKey و API-Key)
  • reCaptcha V3 Google - قسمت دوم (عملی)
  • Logging and Monitoring - بخش اول
  • Logging and Monitoring - بخش دوم (عملی) - کتابخانه serilog و فایل های تکست لاگ
  • Extension ها امنیتی برای مرورگرها
  • App Secrets Management

دانلود فایل های آموزشی دوره

1. Cross-origin resource sharing (CORS) - CORS (3): پیاده سازی در یک پروژه واقعی (دانلود)
2. Ajax و نگرانی های امنیتی آن - Ajax و JQuery (دانلود)
3. Ajax و نگرانی های امنیتی آن - گرفتن اطلاعات API با Ajax (دانلود)
4. پروژه عملی پیاده سازی OAuth2 توسط گوگل (دانلود)
5. مثال عملی پیاده سازی Session در دات نت (دانلود)
6. امن سازی Cookie ها (مثال عملی با Javascript) و امن سازی Cookie ها (مثال عملی با ASP.NET CORE) (دانلود)
7. مثال عملی پیاده سازی sessionStorage (دانلود)
8. مثالی کاربردی از IndexedDb + امن سازی (دانلود)
9. پیاده سازی Session Fixation بصورت عملی با ASP.NET CORE + نفوذپذیری (دانلود)
10. چیستی Client Validation (دانلود)
11. پیاد سازی عملی Client Validation با JavaScript (دانلود)
12. شبیه سازی Input sanitization سمت سرور با ASP.NET CORE MVC (دانلود)
13. پیاده سازی عملی Input sanitization با JavaScript با دو سمپل (دانلود)
14. نفود و سرقت Cookie ها (مثلا عملی و واقعی نفوذ) (دانلود)
15. مثال عملی نفوذ به سبک سبک Log KeyStrokes (با ASP.NET CORE و JS) (دانلود)
16. پروژه عملی پیاده سازی چت آنلاین با WebSocket (دانلود)
17. پیاده سازی عملی نفوذ با CSRF کمک ASP.NET CORE (دانلود)
18. پیاده سازی عملی نفوذ (ایمن شده) با CSRF کمک ASP.NET CORE  (دانلود)
19. پیاده سازی عملی پروژه برای حمله SQLi (بخش یک) - پیاده سازی با ASP.NET CORE MVC (شبیه سازی هک)  (دانلود)
20. پیاده سازی عملی ازAPI مدل RESTFull  (دانلود)
21. پیاده سازی عملی ازAPI مدل GraphQl  (دانلود)
22. پیاده سازی عملی از Rate Limiting  (دانلود)
23. پیاده سازی عملی درخواست ها (سه روش)  (دانلود)
24. پیاده سازی عملی امن سازی RestFull  (دانلود)
25. پیاده سازی و شبیه سازی عملی از حمله Brute Force  (دانلود)
26. پیاده سازی الگورتیم های رمزنگاری  (دانلود)
27. پیاده سازی عملی Validations ها (با JavaScript و ASP.NET CORE MVC)  (دانلود)