اﻣﻨﻴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎی ﻛﺎرﺑﺮدی تحت وب

توجه : به همراه فایل word این محصول فایل پاورپوینت (PowerPoint) و اسلاید های آن به صورت هدیه ارائه خواهد شد

 اﻣﻨﻴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎی ﻛﺎرﺑﺮدی تحت وب دارای ۱۷۰ صفحه می باشد و دارای تنظیمات و فهرست کامل در microsoft word می باشد و آماده پرینت یا چاپ است

فایل ورد اﻣﻨﻴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎی ﻛﺎرﺑﺮدی تحت وب  کاملا فرمت بندی و تنظیم شده در استاندارد دانشگاه  و مراکز دولتی می باشد.

بخشی از فهرست اﻣﻨﻴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎی ﻛﺎرﺑﺮدی تحت وب

فصل ۱:

مقدمه

۱-۱- مقدمه

۱-۲- مقدمه ای بر Firewall

۱-۳- انواع فایروال

۱-۴- موقعیت یابی برای فایروال

۱-۵- ویژگی ها و معایب IPSها

۱-۶- بررسی عوامل نیاز ما به WAF

۱-۷- معرفی فایروال های مجهز و مدرن (SMARTWAF)

۱-۷-۱- عملکرد SmartWAF

۱-۷-۲- مدیریت SmartWAF

۱-۸- معیار ارزیابی برنامه فایروال

۱-۸-۱- WAFEC1.0 عرضه شده

۱-۸-۲- WAFEC2.0 در دست اقدام

فصل ۲:

فایروال های برنامه های تحت وب

۲-۱- مقدمه

۲-۲- تعریف واژه WAF- فایروال برنامه های تحت وب

۲-۳- ویژگی های برنامه های کاربردی وب نسبت به امنیت این برنامه ها

۲-۳-۱- جنبه های سطح عالی در درون سازمان

۲-۳-۲- جنبه های فنی هر یک از برنامه های تحت وب شرکت های خصوصی

۲-۴- مروری بر ویژگی های فایروال برنامه کاربردی وب 

۲-۴-۱- چه مواقعی WAFها برای امنیت برنامه های تحت وب مناسب هستند؟

۲-۴-۲- نمونه ای از مکانیزم های امنیتی WAFها با استفاده از اسیب پذیری های خاص

۲-۵- بررسی اجمالی مزایا و خطرات ناشی از فایروال های برنامه های تحت وب

۲-۵-۱- مزیت اصلی WAFها

۲-۵-۲- مزایای اضافی WAFها (وابسته به عملکرد واقعی محصولات)

۲-۶- امنیت در مقابل OWASP TOP10 – مقایسه WAFها و روش های دیگر

۲-۷- معیارهای تصمیم گیری برای استفاده و یا عدم استفاده از WAF

۲-۷-۱- معیارهای گسترده سازمانی

۲-۷-۲- ضوابط مربوط به یک برنامه تحت وب

۲-۷-۳- ارزیابی

۲-۷-۴- در نظر گرفتن جنبه های مالی

۲-۸- بهترین شیوه برای معرفی و عملکرد WAF

۲-۸-۱- جنبه های موجود در زیرساخت های وب

۲-۸-۱-۱- زیرساخت های مرکزی و یا غیر مرکزی -تغییرات قابل پیش بینی

۲-۸-۱-۲- معیار کارایی

۲-۸-۲- جنبه های سازمانی

۲-۸-۲-۱- منطبق با سیاست های امنیتی موجود

۲-۸-۲-۲- مدیر برنامه های تحت وب

فصل ۳:

اﻣﻨﻴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎی ﻛﺎرﺑﺮدی تحت وب

۳-۱- ﻣﻘﺪﻣﻪ‬

۳-۲- روﻳﻜﺮد‬

۳-۳- ﺳﻄﻮح وارﺳﻲ اﻣﻨﻴﺖ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻛﺎرﺑﺮدی‬

۳-۳-۱- ﺳﻄﺢ ۱- وارﺳﻲ ﺧﻮدﻛﺎر‬

۳-۳-۱-۲- ﺳﻄﺢ ‪۱A‬- ﭘﻮﻳﺶ ﭘﻮﻳﺎ (وارﺳﻲ ﺧﻮدﻛﺎر ﺟﺰﻳﻲ)

۳-۳-۲- ﺳﻄﺢ ۲- وارﺳﻲ دﺳﺘﻲ‬

۳-۳-۲-۲- ﺳﻄﺢ ‪ ۲A‬- ازﻣﻮن اﻣﻨﻴﺖ (وارﺳﻲ دﺳﺘﻲ ﺟﺰئی)

۳-۳-۲-۳- ﺳﻄﺢ ۲B‬- ﺑﺎزﺑﻴﻨﻲ ﻛﺪ (وارﺳﻲ دﺳﺘﻲ ﺟﺰﻳﻲ)

۳-۳-۳- ﺳﻄﺢ ۳ – وارﺳﻲ ﻃﺮاﺣﻲ‬

۳-۴- ﺟﺰﺋﻴﺎت وارﺳﻲ ﻧﻴﺎزﻣﻨﺪیﻫﺎ‬

۳-۴-۱- ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﻣﺴﺘﻨﺪﺳﺎزی ﻣﻌﻤﺎری اﻣﻦ‬

۳-۴-۲- ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﺣﺮاز ﻫﻮﻳﺖ‬

۳-۴-۳- ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻣﺪﻳﺮﻳﺖ ﻧﺸﺴﺖ‬

۳-۴-۴- ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ‬

۳-۴-۵- ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻋﺘﺒﺎرﺳﻨﺠﻲ‬

۳-۴-۶- ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻛﺪﮔﺬاری ﺧﺮوﺟﻲ‬

۳-۴-۷- ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ رﻣﺰﻧﮕﺎری‬

۳-۴-۸- ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺛﺒﺖ وﻛﻨﺘﺮل ﺧﻄﺎ‬

۳-۴-۹- ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺣﻔﺎﻇﺖ دادهﻫﺎ‬

۳-۴-۱۰- ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ ارﺗﺒﺎﻃﺎت‬

۳-۴-۱۱- ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ ‪HTTP‬‬

۳-۴-۱۲- ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﭘﻴﻜﺮﺑﻨﺪی اﻣﻨﻴﺘﻲ‬

۳-۴-۱۳- ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺟﺴﺘﺠﻮی ﻛﺪﻫﺎی ﻣﺨﺮب‬

۳-۴-۱۴- ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ داﺧﻠﻲ‬

۳-۵- ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﮔﺰارش وارﺳﻲ‬

فصل ۴:

اﺷﻨﺎﻳﻰ ﺑﺎ ﺣﻤﻼت SQL Injection

۴-۱- ﻣﻘﺪﻣﻪ‬

۴-۲- ﺣﻤﻠﻪی ﺗﺰرﻳﻖ ‪ SQL‬

۴-۳- ﻣﺪلﺳﺎزی ﺧﻄﺮ‬

۴-۴- ﻋﻮاﻣﻞ ﺧﻄﺮ‬

۴-۵- ازﻣﻮن ﺗﺰرﻳﻖ ‪SQL‬‬

۴-۵-۱- ازﻣﻮن ﺗﺰرﻳﻖ‪ SQL‬ اﺳﺘﺎﻧﺪارد‬

۴-۵-۲- ازﻣﻮن ﺗﺰرﻳﻖ ‪ SQL‬ از ﻃﺮﻳﻖ اﻟﺤﺎق ﭘﺮس وﺟﻮﻫﺎ‬

۴-۵-۳- ازﻣﻮن ﺗﺰرﻳﻖ‪ SQL‬ ﻛﻮر‬

۴-۶- ﺗﺰرﻳﻖ روالﻫﺎی ذﺧﻴﺮه ﺷﺪه‬

۴-۷- ﺗﺰرﻳﻖ‪ SQL‬ ﻛﻮر‬

۴-۸- اﻧﮕﺸﺖ ﻧﮕﺎری از ‪RDBMS‬‬

۴-۹- ﺣﻤﻠﻪی ‪Timing‬‬

۴-۱۰- روش‌های مقابله با حملات SQL Injection

فصل ۵:

اﺷﻨﺎﻳﻰ ﺑﺎ ﺣﻤﻼت XSS

۵-۱- ﻣﻘﺪﻣﻪ‬

۵-۲- تشریح حملات XSS

۵-۳- روشﻫﺎی امنیتی

۵-۳-۱- راه ﺣﻞ ﻛﺪﮔﺬاری‬

۵-۳-۲- ﻣﺪﻳﺮﻳﺖ ﺧﺼﻴﺼﻪﻫﺎ‬

۵-۳-۳- ﻣﻮﺟﻮدﻳﺖﻫﺎی ‪ HTML‬ و ﻓﻴﻠﺘﺮﻫﺎ‬

۵-۳-۴- روﻳﻜﺮد ‪Exclusion‬‬

۵-۴- راه های مقابله با حملات XSS

۵-۵- بهره برداری

فصل ۶:

مدیریت نشست

۶-۱- مقدمه

۶-۲- ملاحظات امنیتی و اقدامات متقابل

۶-۳- به کارگیری رمزنگاری در تمامی مبادلات

۶-۳-۱- پیاده سازی HTTPOnly در زبان های برنامه نویسی

۶-۳-۲- پشتیبانی مرورگرهای مختلف از HTTPOnly

۶-۴- تنها ذخیره شناسه نشست درسمت کلاینت

۶-۵- پیاده سازی فیلترینگ پارامتر Referrer متد GET

۶-۶- شناسایی و بررسی کاربر برای جلوگیری از حمله ربودن نشست

۶-۷- انقضای نشست در صورت عدم فعالیت

۶-۸- شناسه نشست را قابل مشاهده قرار ندهید

۶-۹- انتخاب شناسه نشست مناسب

۶-۱۰- جلوگیری از اسیب پذیری XSS

۶-۱۱- اجبار در ایجاد شناسه نشست سمت سرور

فصل ۷:

نتیجه گیری و ارزیابی

۷-۱- نتیجه گیری و ارزیابی

فصل ۸:

فهرست منابع