آموزش OWASP API Security Top 10 2023 - راهنمای جامع امنیت

معرفی
سرفصل

✅ سرفصل و جزئیات آموزش

آنچه یاد خواهید گرفت:

درک آسیب‌پذیری‌های OWASP API Top 10 و تأثیر آنها بر امنیت
یادگیری بهترین شیوه‌ها برای ایمن‌سازی APIs در برابر تهدیدات رایج
شناسایی ابزارها و تکنیک‌های کلیدی برای ارزیابی امنیت API
کسب تجربه عملی با سناریوهای امنیتی واقعی API
بررسی استراتژی‌های کاهش ریسک برای آسیب‌پذیری‌های OWASP
توسعه استراتژی قوی امنیت API برای اپلیکیشن‌های خود
درک اهمیت احراز هویت و مجوز در APIs
یادگیری نحوه انجام تست امنیت موثر روی APIs
یادگیری نحوه ایمن‌سازی داده‌ حساس در پاسخ‌های API
بررسی ریسک‌های پیکربندی‌های نادرست CORS در APIs
درک پیامدهای استفاده ایمن از APIs شخص ثالث
کسب مهارت‌ها در پیاده‌سازی OAuth و JWT برای امنیت API
کشف نحوه مدیریت نسخه API به‌طور ایمن
یادگیری درباره جنبه‌های امنیتی طراحی و معماری API
درک نقش حسابرسی ها و بررسی‌های امنیتی در توسعه API
دریافت نکات عملی برای مدل‌سازی تهدیدات خاص برای APIs
بررسی استراتژی‌های پاسخ به حادثه در نقض‌های امنیت API

پیش‌نیازهای دوره

درک اولیه از مفاهیم توسعه وب
آشنایی با RESTful APIs و پروتکل‌های HTTP
دانش اصول امنیتی یک مزیت است اما الزامی نیست.
ابزارها مشخصی لازم نیست، فقط یک کامپیوتر با دسترسی به اینترنت
تمایل به یادگیری و بررسی مباحث امنیت API

توضیحات دوره

APIs بزرگراه‌های دیجیتالی هستند که اپلیکیشن‌های مدرن را به هم متصل می‌کنند و ارتباطات بدون وقفه‌ای بین سیستم‌ها، سرویس‌ها و دستگاه‌ها فراهم می‌آورند. اما با قدرت بزرگ، مسئولیت‌های بزرگی نیز وجود دارد. APIs به یکی از متداول‌ترین بردارهای حمله برای بازیگران مخرب تبدیل شده‌اند. اگر شما در حال توسعه، استقرار یا مدیریت APIs هستید، درک نحوه ایمن‌سازی آنها دیگر اختیاری نیست، بلکه یک ضرورت است.

به دوره «OWASP API Top 10 2023»، راهنمای گام به گام شما برای تسلط به امنیت API خوش آمدید. این دوره به گونه‌ای طراحی شده که شما را از مفاهیم اولیه به استراتژی‌های پیشرفته حفاظت ببرد، در حالی که روی جدیدترین آسیب‌پذیری‌های OWASP API Top 10 که تهدیدات واقعی برای باپلیکیشن‌های شما به شمار می‌روند، تمرکز دارد.

شما مفاهیم کلیدی امنیت را نه تنها به‌صورت تئوری، بلکه از طریق مثال‌های عملی و واقعی بررسی خواهید کرد. از همان ابتدا، با بررسی عمیق توسعه وب اپلیکیشن‌هایی که چالش‌های امنیتی را که متخصصان هر روز با آنها مواجهند، منعکس می‌کند، شروع خواهید کرد. با این مثال‌های واقعی، خواهید آموخت که چگونه مهم‌ترین آسیب‌پذیری‌های قابل اکسپلویت کردن توسط هکرها را شناسایی کرده، کاهش داده و از آنها جلوگیری کنید، مانند:

احراز هویت شکسته سطح آبجکت
تکلیف انبوه
پیکربندی نادرست امنیت
عدم محدودیت نرخ
و بسیاری موارد دیگر

این دوره شما را در موارد زیر راهنمایی خواهد کرد:

درک آسیب‌پذیری‌های OWASP API Top 10 2023 - اینها چه هستند؟ چرا مهم‌ هستند؟ چگونه می‌توانند امنیت اپلیکیشن شما را از بین ببرند اگر بدون توجه باقی بمانند؟
سناریوهای واقعی و مثال‌های عملی - می‌بینید که چگونه مهاجمان از این آسیب‌پذیری‌ها اکسپلویت می‌کنند و چگونه می‌توانید از آنها جلوگیری کنید.
ساخت APIs ایمن از ابتدا - یاد می‌گیرید که چگونه APIs را با امنیت تعبیه شده در هر مرحله از چرخه عمر توسعه توسعه دهید.
استراتژی‌های کاهش ریسک - شما نه تنها یاد می‌گیرید که چگونه آسیب‌پذیری‌ها را شناسایی کنید بلکه همچنین اقداماتی ایمن برای حفاظت از API خود و داده‌ حساس آن اعمال می‌کنید.
بهترین شیوه‌های امنیت - درباره احراز هویت مناسب، مجوز، اعتبارسنجی ورودی، محدودیت نرخ و موارد دیگر بینش‌های لازم را به دست می‌آورید.

چه شما یک توسعه‌دهنده باشید که به دنبال ساخت APIs ایمن‌تر، یک حرفه‌ای امنیت که به دنبال گسترش مهارت‌های خود هستید، یا رهبر IT که مسئول حفاظت از داده‌ سازمان خود است، این دوره برای شما مناسب است. محتوای دوره به گونه‌ای طراحی شده که مبتدی پسند باشد، اما همچنین شامل بررسی‌های عمیق در مباحث پیچیده امنیت است که حتی توسعه‌دهندگان و کارشناسان امنیت زبده نیز آن را ارزشمند می‌دانند.

در پایان دوره، شما نه تنها با لیست OWASP API Top 10 آشنا خواهید شد، بلکه به صورت مطمئن قادر به ساخت، تست و ایمن‌سازی APIs در برابر تهدیدات جدید خواهید بود. شما با مهارت‌ها و دانش عملی که می‌توانید به‌طور فوری در پروژه‌های خود به‌کار ببرید، مجهز خواهید شد که به شما کمک می‌کند تا APIs ایمن و مقاوم بسازید که حتی در برابر پیچیده‌ترین حملات نیز تاب بیاورند.

چرا در این دوره شرکت کنید؟

یادگیری عملی - شما فقط تماشاچی نیستید، بلکه فعالانه مسائل امنیتی واقعی را بررسی می‌کنید.
بروزرسانی با OWASP API Top 10 2023 - آخرین تهدیدات و دفاع‌ها را می‌آموزید.
راهنمایی کارشناس- از مدرسانی که در امنیت API تخصص دارند، بینش‌های لازم را دریافت می‌کنید.
بینش‌های عملی - تکنیک‌هایی کسب می‌کنید که می‌توانید فوراً در شغل یا پروژه‌ خود استفاده کنید.

این دوره برای چه کسانی مناسب است؟

توسعه دهندگانی که به دنبال افزایش مهارت های امنیت API خود هستند.
متخصصان امنیت که به دنبال درک آخرین آسیب‌پذیری‌های API هستند.
مهندسان نرم‌افزار که به ساخت اپلیکیشن‌های ایمن علاقه‌مند هستند.
دانشجویان و مبتدیانی که مشتاق یادگیری درباره بهترین شیوه‌های امنیت API هستند.
رهبران فناوری و معمارانی که می‌خواهند اقدامات امنیتی قوی در پروژه‌های خود پیاده‌ کنند.

آموزش OWASP API Security Top 10 2023 - راهنمای جامع امنیت

فصل 1: مقدمه

طرح ارتباطی 04:10

فصل 2: OWASP API Top 10 2023

API1:2023 - احراز هویت شکسته سطح آبجکت - بخش 1 15:47
API1:2023 - احراز هویت شکسته سطح آبجکت - بخش 2 (تمرین) 11:35
API1:2023 - احراز هویت شکسته سطح آبجکت - بخش 3 (Zero-Trust و UUIDs) 21:32
API2:2023 - احراز هویت شکسته - بخش 1 (مبانی، تأثیر، انواع حملات) 17:58
API2:2023 - احراز هویت شکسته - بخش 2 (مطالعات موردی، OAuth و OpenID) 20:17
API2:2023 - احراز هویت شکسته - بخش 3 (تمرین، توکن‌های JWT و حملات زمانبندی) 27:49
API3:2023 - احراز هویت شکسته سطح ویژگی آبجکت - بخش 1 20:50
API3:2023 - احراز هویت شکسته سطح ویژگی آبجکت - بخش 2 (تمرین) 16:24
API4:2023 - مصرف نامحدود منابع - بخش 1 27:09
API4:2023 - مصرف نامحدود منابع - بخش 2 (تمرین) 09:55
API5:2023 - احراز هویت شکسته سطح تابع - بخش 1 19:18
API5:2023 - احراز هویت شکسته سطح تابع - بخش 2 (تمرین) 08:32
API6:2023 - دسترسی نامحدود به جریان‌های حساس کسب‌وکار - بخش 1 20:03
API6:2023 - دسترسی نامحدود به جریان‌های حساس کسب‌وکار - بخش 2 25:11
API6:2023 - دسترسی نامحدود به جریان‌های حساس کسب‌وکار - بخش 3 (عملی) 09:55
API9:2023 - مدیریت نامناسب موجودی - بخش 1 27:02
API9:2023 - مدیریت نامناسب موجودی - بخش 2 (تمرین) 11:28
API10:2023 - بررسی Consumption ناایمن APIs - بخش 1 30:30
API10:2023 - بررسی Consumption ناایمن APIs - بخش 2 (تمرین) 09:28

فصل 3: مطالب اضافی - OWASP Top 10 2021

OWASP Top 10 - بررسی 18:47
کنترل دسترسی شکسته 35:21
شکست‌های رمزنگاری (تئوری، داده‌ حساس، نقض داده و انواع شکست‌ها) 12:58
شکست‌های رمزنگاری (مثال‌های عملی، SQL Injection و TLS/SSL و HTTPS) 19:16
شکست‌های رمزنگاری (مثال‌ها، رمزنگاری پسورد، هش کردن و Salting) 17:36
تزریق (بررسی، فازی‌سازی، CWEs، تأثیر، انواع تزریق و تزریق فرمان) 15:21
تزریق (حملات اسکریپت‌نویسی بین سایتی، انواع XSS و SQL و JPA و تزریق‌های NoSQL) 16:29
تزریق (تزریق XPath، تزریق لاگ و اعتبارسنجی ورودی) 16:02
طراحی ناایمن (بررسی، CWEs، امنیت Shift Left، مانیفست مدل‌سازی تهدید) 19:41
طراحی ناایمن (فرآیند طراحی ایمن، کنترل‌های امنیت، متریک‌ها و مثال‌ها) 22:58
پیکربندی نادرست امنیت (بررسی، CWEs، انواع و حملات واقعی) 20:16
پیکربندی نادرست امنیت (مقاوم‌سازی، Zero Trust، دفاع در عمق و تمرین) 29:02
کامپوننت‌های آسیب‌پذیر و منسوخ 23:04
شکست‌های شناسایی و احراز هویت 33:53
شکست‌های یکپارچگی نرم‌افزار و داده 17:33
شکست‌های لاگ کردن و نظارت بر امنیت 22:54
جعل درخواست سمت سرور (SSRF) 24:32