نگاره‌هایی پیرامون امنیت، شبکه و رمزنگاری

01 آوریل 2020

همونطور که در قسمت آخر سری “باگ بانتی و Bash” قول داده بودیم، با مجموعه جدیدی برگشتیم که در اون به حل و بررسی چالش های وب سایت PortSwigger WebAcademy می‌پردازیم. لازم بذکر هستش که بگم قرار نیست آموزش از صفر در مورد آسیب پذیری های وب اپلیکیشن باشه و سعی شده که خلاصه ای از نوع آسیب پذیری شرح و برخی از چالش ها حل بشن.

در این سری آموزشی “امنیت و تست نفوذ وب اپلیکیشن” به مطالب متنوعی می‌پردازیم، برخی از این مطالب:

  • بررسی آسیب پذیری پیمایش دایرکتوری ها Directory Traversal
  • بررسی آسیب پذیری تزریق دستور سیستم عامل OS Command Injection
  • بررسی انواع مختلف آسیب پذیری Cross Site Scripting
  • بررسی آسیب پذیری های مربوط به XML همچون XML External Entities
  • بررسی آسیب پذیری های مربوط به کنترل و ارتقای سطح دسترسی Access Control
  • بررسی آسیب پذیری های مکانیزم Cache همچون Web Cache Poisoning
  • بررسی آسیب پذیری های تزریق پایگاه داده SQL Injection
  • بررسی آسیب پذیری های مربوط به اشتراک منابع بین دامنه ها CORS
  • بررسی آسیب پذیری های مربوط به جعل درخواست بین دامنه ها CSRF
  • آسیب پذیری های مربوط به Document Object Model
  • آسیب پذیری های مربوط به پروتکل HTTP همچون HTTP Request Smuggling
  • آسیب پذیری های مربوط به تکنولوژِی Web Socket
  • آسیب پذیری های جعل درخواست سمت سرور Server Side Request Forgery
  • آسیب پذیری مربوط به UI همچون ClickJacking

موضوع این قسمت، بررسی و حل چالش های مربوط به “آسیب پذیری Cross Site Scripting”:

  • XSS از نوع بازگشتی یا Reflected XSS
  • XSS از نوع ذخیره شده Stored XSS
  • XSS از نوع DOM
  • ابزارهای شناسایی خودکار
  • راهکار مقابله با این آسیب پذیری

صمیمانه از شما دوستان خواهشمندم در صورت داشتن هرگونه پیشنهاد، اصلاحیه و یا سوال، به بنده از طریق راه های ارتباطی موجود در ویدیو اطلاع دهید.

سینا خیرخواه
9 پست نوشته شده
دوست دارم بیشتر رو بیشتر یاد بگیرم ، سر درآوردن از سیستم هایی که پیچیده هستن برام خیلی باحاله.
اینجا از تجربیات و باگ های که پیدا میکنم براتون مینویسم.
  • به اشتراک بگذارید:
  1. Avatar Cinna گفت:

    سلام. عااالیه و خوشحالم بابت این قضیه. فقط جسارتا embedded ویدیو خرابه 🙂

  2. Avatar saman گفت:

    باعرض سلام و ادب.
    سپاسگزارم بابت ویدیو. جسارته اما بنظرم اگه مطالبی که قرار میگیره از خودمون باشه؛ و شامل تحقیقات خودمون باشه؛ خیلی خیلی بهتره تا اینکه مطالب رو از وب آکادمی یا هر سایت دیگه ای ترجمه و نشر بدیم. حال اینکه آموزش ها در خود سایت به زبان ساده همراه با تمارین و پاسخ آن ها قرار داره.
    بنظرم خیلی میتونه مفیدتر واقع بشه اگر که مطالب هرچند کم، اما با کیفیت باشه و مهمتر از اون دست آورد های خودمون باشه. اینطوری بنظرم خیلی قشنگتره، شما اینطور فکر نمیکنید؟

    با احترام.

    • سینا خیرخواه سینا خیرخواه گفت:

      اون هم یک نظر هستش، سعی شده یکسری تکنیک ها که عملیاتی هستند هم توضیح داده بشه و مخاطب فقط افراد سطح بالا نیستند و میانگین افراد در نظر گرفته شده

  3. Avatar php گفت:

    mamnoon az shoma va memoryleaks
    ba ghodrat edame bedid
    movafagh bashid

  4. Avatar Samad Behrangi گفت:

    عالی بود. اگه دانلود قابلیت ویدیو هم اضافه می کردین ممنون میشدم