هک و امنیت امنیت وب و برنامه نویسی

آموزش امنیت وب و نفوذ با محوریت JavaScript و ASP.NET CORE MVC (دوره پادشاهی)

158 بازدید 4 نظر ۱۴۰۴/۰۱/۲۱ 1 دانشجو زمان دوره475 دقیقه

سطح دوره: پیشرفته

12,000,000 تومان

امنیت وب و حفاظت از اطلاعات کاربران آنقدر اهمیت خواهد داشت که صدها ساعت دوره و کلاس هم جهت رسیدن به این هدف کافی نخواهد بود.
مجموعه «کنیگتو» در تلاش است در کنار «آموزش زبان های برنامه نویسی» که به شدت فراگیر شده است، امنیت بخشی از کُد ها را نیز آموزش و فراگیر کند.
از اینرو؛ سعی شد در دوره «مقدماتی و رایگان امنیت وب» مباحث بسیار کلی مطرح و سایر موارد تخصصی به دوره ی پادشاهی آن موکول شود.

پیش از تهیه دوره ی جاری، بیش از 300 صفحه جزوه تدوین و براساس آن ضبط ویدیوهای آموزشی هدفمند آغاز گردید. سرفصل ها براساس نیاز روز و تکنولوژی های عصر حاضر تهیه شده است. از آنجایی که در پیاده سازی وب سایت های حال حاضر، نقش کتابخانه های جاوااسکریپ بسیار پر است، تمرکز بر امنیت بخشی کُدهای کتابخانه های JavaScript بوده است. برخی از این تکنولوژی ها و زبان های وابسته به جاوااسکریپ، میتوان به Microservice ها، SPA (Single Page Application) ها و یا API ها اشاره داشت.
ناگفته نماند که زبان هایی چون Angular، Blazor و ... نیز به طور مستقیم درگیر استفاده از کتابخانه های JavaScript هستند.

پیش نیاز دوره:

همانطور که در ویدیوی ابتدایی معرفی دوره بیان شد، این دوره مناسب عزیزانی است که تسلط نسبی بر HTML، JavaScript و یکی از زبان های پیاده سازی وب داشته باشند. در غیر این صورت، خواهشمندیم که از تهیه دوره پرهیز کنید.

سرفصل ها:

نکته: ممکن است اولویت و محتوای سرفصل ها در طول ضبط دوره تغییر کند.

ویدیوهای به پایان رسیده و آماده نمایش ...

فصل یک: مقدماتی و تعاریف کلی
- آشنایی با تهدیدات رایج وب
- آشنایی و کارکرد OWASP Top 10
- 10 حمله هکری و رایج وب سایت ها
فصل دو: مفاهیم ابتدایی و کلیات مهم امنیت
- Content delivery network (CDN) چیست؟
- Browser Rendering Pipeline و سیر لود یک صفحه وب
- Document Object Model (DOM) چیست؟
- نقش inspect و devTools در بررسی DOM
- آشنایی با نرم افزار Postman
- آشنایی با codepen و jsfiddle
- curl چیست؟ + کاربرد آن
- Same-Origin Policy (SOP)
- Cross-origin resource sharing (CORS)
  - CORS (1): چیستی؟
  - CORS (2): پیکربندی گام به گام
  - CORS (3): پیاده سازی در یک پروژه واقعی
    - در این مثال real-world با استفاده از پروژه های ASP.NET WEB CORE MVC و ASP.NET CORE API یک اتصال واقعی پیاده سازی شده است.
- چیستی Referrer و نقش حیاتی آن
فصل سه: نقش JavaScript و نفوذپذیری آن
- ریسک های امنیتی JavaScript
- چگونگی ذخیره سازی JavaScript و مسیر فایل ها
- کجا JavaScript نوشته میشود؟
- مثال عملی از نفوذپذیری JavaScript
- Minification فایل های JavaScript
- Obfuscation فایل های JavaScript (بسیار مهم)
فصل چهار:Ajax و نگرانی های امنیتی آن
- Ajax و JQuery
- ارتباط Ajax و Backend
- گرفتن اطلاعات API با Ajax
- موارد کلی امنیت بخشی به Ajax
فصل پنج: Authentication, Authorization & Session Management
- چیستی Authentication و Authorization
- State & Stateless
- Session ها (جهت مطالعه مقاله «بررسی تخصصی تفاوت‌ها، شباهت‌ها و کارکردهای Cookie و Session در توسعه وب» اینجا کلیک کنید)
- Cookie ها (جهت مطالعه مقاله «بررسی تخصصی تفاوت‌ها، شباهت‌ها و کارکردهای Cookie و Session در توسعه وب» اینجا کلیک کنید)
- Header در AJAX و اهمیت آن در نفوذ
- Header & CORS
- JWT
  - JWT چیست؟
  - پروژه عملی 1
    - پروژه عملی پیاده سازی JWT با ASP.NET CORE MVC (بخش اول)
    - پروژه عملی پیاده سازی JWT با ASP.NET CORE MVC (بخش دوم)
  - پروژه عملی 2
    - پروژه عملی پیاده سازی JWT با ASP.NET CORE MVC + API
- OAuth2
  - OAuth و یا Open Authorization چیست؟
  - پروژه عملی پیاده سازی OAuth2 توسط گوگل (بخش اول)
  - پروژه عملی پیاده سازی OAuth2 توسط گوگل (بخش دوم)
فصل شش: Session ها
- Session چیست؟
- Session دردات نت
- مثال عملی پیاده سازی Session در دات نت
- چرا Cookie بعنوان میکانیزم Session
- امن سازی Cookie ها
  - چیستی؟
  - امن سازی Cookie ها (مثال عملی با Javascript)
  - امن سازی Cookie ها (مثال عملی با ASP.NET CORE)
- sessionStorage
  - چیستی sessionStorage
  - مثال عملی پیاده سازی sessionStorage
- indexedDb
  - چیستی IndexedDb
  - مثالی کاربردی از IndexedDb
  - امن سازی IndexedDb
- Session Fixation
  - چیستی Session Fixation
  - پیاده سازی Session Fixation بصورت عملی با ASP.NET CORE + نفوذپذیری
- Session Timeout Policies
فصل هفت: Role of Validation
- Client Validation
  - چیستی Client Validation
  - پیاد سازی عملی Client Validation با JavaScript
  - پیاده سازی عملی Server Validation با ASP.NET CORE MVC
- Input sanitization
  - چیستی Input sanitization
  - پیاده سازی عملی Input sanitization با JavaScript با دو سمپل
  - تحلیل کارکرد Input sanitization
  - شبیه سازی Input sanitization سمت سرور با ASP.NET CORE MVC
- اهمیت Handle Errors در امنیت وب
فصل هشت: حمله XSS (مخفف Cross-Site Scripting)
نکته: به دلیل اشتراکات فراوانِ تکنیکی و رویکردی حمله موسوم به XSS با حملاتی چون JavaScript Execution Risks و یا JavaScript Injection، تمام مباحث آنها، ذیل همین فصل جای گرفته و از جداسازی خودداری شده است.

دانلود فایل های آموزشی دوره

Cross-origin resource sharing (CORS) - CORS (3): پیاده سازی در یک پروژه واقعی (دانلود)
Ajax و نگرانی های امنیتی آن - Ajax و JQuery (دانلود)
Ajax و نگرانی های امنیتی آن - گرفتن اطلاعات API با Ajax (دانلود)
پروژه عملی پیاده سازی OAuth2 توسط گوگل (دانلود)
مثال عملی پیاده سازی Session در دات نت (دانلود)
امن سازی Cookie ها (مثال عملی با Javascript) و امن سازی Cookie ها (مثال عملی با ASP.NET CORE) (دانلود)
مثال عملی پیاده سازی sessionStorage (دانلود)
مثالی کاربردی از IndexedDb + امن سازی (دانلود)
پیاده سازی Session Fixation بصورت عملی با ASP.NET CORE + نفوذپذیری (دانلود)
چیستی Client Validation (دانلود)
پیاد سازی عملی Client Validation با JavaScript (دانلود)
شبیه سازی Input sanitization سمت سرور با ASP.NET CORE MVC (دانلود)
پیاده سازی عملی Input sanitization با JavaScript با دو سمپل (دانلود)

ویدیوهای در حال ضبط ...

توجه بفرمائید، عزیزانی که دوره را پیش از آماده شدن کل دروه تهیه میکنند، آموزش های (ویدیوهای) جدید در دوره خریداری شده، بدون پرداخت هزینه مجدد اضافه خواهد شد و جای نگرانی نخواهد بود.

7. Client-Side Storage Best Practices

o localStorage
o sessionStorage
o Avoiding localStorage Pitfalls
o No built-in encryption
o Tampering Risks

8. Attack ** Client-Side Attacks ** [1]: Cross-Site Scripting (XSS)

o Reflected vs Stored XSS
o DOM-based XSS
o Mitigation: Content Security Policy (CSP), input/output sanitization

9. Attack ** Client-Side Attacks ** [2]: JavaScript Injection

o URL Parameter Injection
o Template Injection (JS templating engines)
o Event Handler Injection (e.g., onload, onclick)
o innerHTML Injection
o JavaScript Template Injection

10. Attack ** Client-Side Attacks ** [3]: Client-Side Storage Exploits

o Exploiting Client-Side Storage
o Mitigation: Encrypt Sensitive Data, Limit Storage Use

11. Attack ** Client-Side Attacks ** [4]: JavaScript Execution Risks

o eval() and dynamic script execution
o new Function()
o setTimeout/setInterval with string input
o Mitigation: Avoidance & Linting

12. Attack ** Client-Side Attacks ** [5]: Cookie Attacks

o Accessing document.cookie
o Cookie Theft via XSS
o Secure, HttpOnly, SameSite Flags

13. Attack ** Client-Side Attacks ** [6]: WebSockets Injection

o Understanding WebSockets Security Concerns
o Preventing Data Leaks through WebSockets
o Authentication & Authorization in WebSockets

14. Attack ** Client-Side Attacks ** [7]: CSP Bypass

o Exploiting Weak CSP Configurations
o Mitigation: Strict CSP Policies
o Advanced XSS techniques to bypass CSP

15. Attack ** Client-Side Attacks ** [8]: Cross-Site Request Forgery (CSRF)

o CSRF Tokens
o SameSite Cookies
o Double Submit Cookie Strategy

16. Attack ** Client-Side Attacks ** [9]: Social Engineering & Phishing

o Clickjacking
- Tricking Users into Clicking Malicious Elements
- Mitigation: X-Frame-Options, CSP Frame Ancestors
o Fake Login Forms
o User Awareness

17. Attack ** Server-Side Attacks ** [10]: SQL-Injection (SQLi)

o Manual Injection & Automation (e.g., sqlmap)
o Preventive Measures
- Parameterized Queries
- ORM Safety
- Input Validation

18. Attack ** Server-Side Attacks ** [11]: API Abuse & Injection

o A simple sample of API Usage
o RESTful
o GraphQL
o Broken Object Level Authorization (BOLA)
o Rate Limiting
o Missing Auth (public endpoints)
o API Key leaks
o Fetch API vs XMLHttpRequest Security Concerns
o Securing RESTful APIs Against Attacks
o Securely Handling API Requests with JavaScript
o Implementing API Authentication (OAuth, JWT, API Keys)
o Mass Assignment
o Double Submit Cookie Pattern

19. Attack ** Server-Side Attacks ** [12]: Brute Force Attacks

o Login Protection: Rate Limiting, CAPTCHA
o Account Lockouts, Logging

20. Attack ** Server-Side Attacks ** [13]: Rainbow Table Attacks

o Hashing Best Practices (bcrypt, Argon2)
o Salting

21. Attack ** Server-Side Attacks ** [14]: File Upload Vulnerabilities

o Remote Code Execution (RCE)
o File Inclusion Attacks
o Denial of Service (DoS)
o Cross-Site Scripting (XSS)
o Malware Distribution
o Privilege Escalation
o Phishing and Social Engineering
o Implementing File Validation Techniques
o MIME Type Validation & Content-Disposition Security
o Handling File Uploads Securely in AJAX Requests
o Sandboxing Uploads

22. Attacks (Advanced)

o DOM Clobbering
o Prototype Pollution
o Subresource Integrity (SRI)
o Clickjacking via Drag-and-Drop or Drag-and-Drop Injection

23. ** Testing, Tools & Hardening ** Penetration Testing Tools

o Burp Suite
o OWASP ZAP
o Nmap for Recon
o SQLMap for SQLi Testing

24. ** Testing, Tools & Hardening ** Conducting Security Audits

o Audit Web Applications
o Logging & Alerting for Suspicious Activity
o SAST
- SonarQube
- Semgrep
o DAST Tools
- Nikto
- OWASP Amass
o CI/CD pipeline scanning
- GitHub Advanced Security
- Trivy

25. ** Testing, Tools & Hardening ** Security Misconfigurations

o Default Credentials Risk
o Directory Listing Exposure
o Secure Headers (`X-Content-Type-Options`, `X-Frame-Options`)
- Strict-Transport-Security (HSTS)
- Referrer-Policy
- Permissions-Policy

26. Advanced Topics

o Real-Time Communication (RTC) Security
o Overview of WebRTC and Its Security Challenges
o Incident Response Basics
o Supply Chain Attacks
o Dependency Confusion
o JavaScript Libraries/Package Security (npm audit, etc.)

خرید و دانلود کل دوره

12,000,000 تومان

سوالات متداول

بطور کلی دوره های برنامه نویسی «کینگتو» برحسب تعیین سطحی که در ابتدای صفحه مشخص خواهد شد، مناسب دانشجویانی است که خود را در آن سطح میبینند. نمیتوان دستوری در خصوص باید و نباید شرکت در دوره ای صادر کرد. هر برنامه نویس برحسب نیاز خود و یا مطالعه جزییات دوره باید به تنهایی به پاسخ برسد.

بله. پس از خرید دوره، میتوانید از داشبُرد خود و انتخاب دوره، درخواست گواهینامه رسمی کنید.
چهت مشاهده نمونه ی گواهینامه به انتهای همین صفحه مراجعه کنید.

بله. گواهینامه ذیل شرکت «طراحان وب کاسپین» صادر خواهد شد.

بله. هر گواهینامه دارای یک کُد منحصربفرد کیوآر خواهد بود که بوسیله آن مشخصات شما روی سایت «کینگتو» به نمایش درخواهد آمد.

بله، شما میتوانید با مدرس از طریق ایمیل info[at]kingeto.ir در ارتباط و مشکلات خود را مطرح کنید.

لینک های این دوره

امکان خرید تک ویدیو بصورت «تک دانلود» برای بعضی از آموزش‌ها نیز فراهم است. اما پیشنهاد ما خرید کامل دوره خواهد بود.

عنوان
فصل یک: مقدماتی و تعاریف کلی
آشنایی با تهدیدات رایج وب	رایگان	00:15:000
آشنایی و کارکرد OWASP Top 10	رایگان	00:07:000
10 حمله هکری و رایج وب سایت ها	رایگان	00:16:000
فصل دو: مفاهیم ابتدایی و کلیات مهم امنیت
CDN چیست؟	نمایش با دوره	00:06:000
Browser Rendering Pipeline	نمایش با دوره	00:06:000
DOM چیست؟	نمایش با دوره	00:07:000
نقش inspect و devTools در بررسی DOM	نمایش با دوره	00:08:000
آشنایی با نرم افزار Postman	نمایش با دوره	00:09:000
آشنایی با codepen و jsfiddle	نمایش با دوره	00:05:000
curl چیست؟ + کاربرد آن	نمایش با دوره	00:11:000
Same-Origin Policy (SOP)	نمایش با دوره	00:07:000
CORS (1): چیستی؟	نمایش با دوره	00:08:000
CORS (2): پیکربندی گام به گام	نمایش با دوره	00:18:000
CORS (3): پیاده سازی در یک پروژه واقعی	نمایش با دوره	00:21:000
چیستی Referrer و نقش حیاتی آن	نمایش با دوره	00:12:000
فصل سه: نقش JavaScript و نفوذپذیری آن
ریسک های امنیتی JavaScript	نمایش با دوره	00:08:000
چگونگی ذخیره سازی JavaScript و مسیر فایل ها	نمایش با دوره	00:03:000
کجا JavaScript نوشته میشود؟	نمایش با دوره	00:02:000
مثال عملی از نفوذپذیری JavaScript	نمایش با دوره	00:10:000
Minification فایل های JavaScript	نمایش با دوره	00:04:000
Obfuscation فایل های JavaScript	نمایش با دوره	00:06:000
فصل چهار: Ajax و نگرانی های امنیتی آن
Ajax و JQuery	نمایش با دوره	00:08:000
ارتباط Ajax و Backend	نمایش با دوره	00:03:000
گرفتن اطلاعات API با Ajax	نمایش با دوره	00:11:000
موارد کلی امنیت بخشی به Ajax	نمایش با دوره	00:04:000
فصل پنج: Authentication, Authorization & Session Management
چیستی Authentication و Authorization	نمایش با دوره	00:08:000
State & Stateless	نمایش با دوره	00:06:000
Session ها	نمایش با دوره	00:04:000
Cookie ها	نمایش با دوره	00:07:000
Header در AJAX و اهمیت آن در نفوذ	نمایش با دوره	00:06:000
Header & CORS	نمایش با دوره	00:08:000
JWT چیست؟	نمایش با دوره	00:18:000
پروژه عملی پیاده سازی JWT با ASP.NET CORE MVC (بخش اول)	نمایش با دوره	00:13:000
پروژه عملی پیاده سازی JWT با ASP.NET CORE MVC (بخش دوم)	نمایش با دوره	00:33:000
پروژه عملی پیاده سازی JWT با ASP.NET CORE MVC + API	نمایش با دوره	00:18:000
OAuth2 چیست؟	نمایش با دوره	00:08:000
پروژه عملی پیاده سازی OAuth2 توسط گوگل (بخش اول)	نمایش با دوره	00:08:000
پروژه عملی پیاده سازی OAuth2 توسط گوگل (بخش دوم)	نمایش با دوره	00:05:000
فصل شش: Session ها
چیستی Session	نمایش با دوره	00:03:000
Session در دات نت	نمایش با دوره	00:03:000
مثال عملی پیاده سازی Session در دات نت	نمایش با دوره	00:04:000
چرا Cookie بعنوان میکانیزم Session	نمایش با دوره	00:03:000
امن سازی Cookie ها	نمایش با دوره	00:03:000
امن سازی Cookie ها (مثال عملی با Javascript)	نمایش با دوره	00:02:000
امن سازی Cookie ها (مثال عملی با ASP.NET CORE)	نمایش با دوره	00:04:000
چیستی sessionStorage	نمایش با دوره	00:02:000
مثال عملی پیاده سازی sessionStorage	نمایش با دوره	00:03:000
چیستی IndexedDb	نمایش با دوره	00:03:000
مثالی از کاربرد IndexedDb	0 تومان (خرید تک آموزش)	00:00:000
امن سازی IndexedDb	نمایش با دوره	00:04:000
چیستی Session Fixation	نمایش با دوره	00:12:000
پیاده سازی Session Fixation بصورت عملی با ASP.NET CORE + نفوذپذیری	نمایش با دوره	00:15:000
Session Timeout Policies	نمایش با دوره	00:06:000
فصل هفت: Role of Validation
چیستی Client Validation	نمایش با دوره	00:09:000
پیاد سازی عملی Client Validation	نمایش با دوره	00:09:000
پیاده سازی عملی Server Validation	نمایش با دوره	00:08:000
چیستی Input sanitization	نمایش با دوره	00:04:000
پیاده سازی عملی Input sanitization	نمایش با دوره	00:04:000
تحلیل کارکرد Input sanitization	نمایش با دوره	00:04:000
شبیه سازی Input sanitization سمت سرور	نمایش با دوره	00:05:000
اهمیت Handle Errors در امنیت وب	نمایش با دوره	00:08:000

نمونه گواهینامه

کینگتو - آموزش برنامه نویسی تخصصصی - دات نت - سی شارپ - بانک اطلاعاتی و امنیت

لینک استاندارد شده: 75a

برچسب ها: امنیت هکر نفوذ JavaScript دوره پادشاهی Ajax هک امنیت وب Web Security

4 نظر

شریف
۱۴۰۴/۰۲/۲۸ سلام خسته نباشید میخواستم بدونم توی این دوره فقط با asp.net core امنیت وب بررسی میشه؟
- کینگتو
  ۱۴۰۴/۰۲/۲۸ درود بر شما تمرکز دوره امنیت وب بر جاوااسکریپ و ajax هستش البته مدرس برحسب تخصصشون که روی دات نت asp.net core mvc هست، جهت پیاده سازی بعضی از مثال های سمت backend از زبان asp استفاده میکنه. اول موضوع فهم کلی مسایل امنیت هستش که شما با شناختشون میتونید توی همه زبان ها پیاده سازی امن انجام بدید. موفق باشید
آزیتا حسینی
۱۴۰۴/۰۲/۲۳ درود قبل اتمام ضبط دوره میشه دوره امنیت وب خرید؟
- کینگتو
  ۱۴۰۴/۰۲/۲۳ سلام به شما بله حتما، ویدیوهایی که اضافه میشن، بدون نیاز به دانلود ویا درخواست در لیستتون قرار میگیرن.