پروژه فایروال های برنامه های تحت وب پژوهش کامل در حوزه کامپیوتر و IT میباشد و در 7 فصل تنظیم شده است.این پروژه با معرفی فایروال و انواع آن و بررسی حملات موجود تحت وب پرداخته است.شما میتوانید فهرست مطالب پروژه را در ادامه مشاهده نمایید.پروژه بصورت فایل قابل ویرایش ورد(WORD) در 94 صفحه برای رشته کامپیوتر و IT در پایین همین صفحه قابل دانلود میباشد. شایسته یادآوری است که پروژه از ابتدا تا پایان ویرایش وتنظیم , سکشن بندی (section) ، نوشتن پاورقی (Footnote) و فهرست گذاری اتوماتیک کامل شده وآماده تحویل یا کپی برداری از مطالب مفید آن است.چکیدهبرنامه های کاربردی تحت وب که در سال های اخیر رشد بسیاری داشته اند، مورد هدف حمله هکرها واقع شده اند. هکرها از روش-هایی استفاده می کنند که به طور خاص با هدف بهره برداری از نقاط ضعف نرم افزارهای کاربردی تحت وب طراحی می شوند و این حمله ها توسط سیستم های امنیتی سنتی IT مانند فایروال های شبکه یا سیستم های IDS/IPS با دقت کافی قابل تشخیص نیستند. این ابزارها توسط OWASP توسعه داده شده و برای افرادی که در بخش امنیتی برای توسعه و بهره برداری ایمن از یک برنامه کاربردی تحت وب فعالیت می کنند، مناسب می باشند. یکی از این نوع ابزارها، ابزاری به نام Web Application Firewalls است، (که ممکن است با نام های Web Application Shields یا Web Application Security Filters نیز خوانده شود) که برای محافظت در مقابل حمله های صورت گرفته، به ویژه برای برنامه های کاربردی تحت وب مورد استفاده قرار می گیرد.واژه های کلیدی:ﺑﺮﻧﺎﻣﻪ ﻛﺎرﺑﺮدی، وب، ﻛﻨﺘﺮل اﻣﻨﻴﺖ، مدیریت نشستفهرست مطالبفصل اول مقدمه ای بر Firewall1-1 مقدمه. 21-2 مقدمه ای بر Firewall21-3 انواع فایروال.. 31-4 موقعیت یابی برای فایروال.. 51-5 ویژگی ها و معایب IPSها61-6 بررسی عوامل نیاز ما به WAF. 71-7 معرفی فایروال های مجهز و مدرن 81-7-1 عملکرد SmartWAF. 81-7-2 مدیریت SmartWAF. 91-8 معیار ارزیابی برنامه فایروال.. 91-8-1 WAFEC1.0 عرضه شده. 101-8-2 WAFEC2.0 در دست اقدام. 10فصل دوم فایروال های برنامه های تحت وب2-1 مقدمه. 122-2 تعریف واژه WAF- فایروال برنامه های تحت وب.. 122-3 ویژگی های برنامه های کاربردی وب نسبت به امنیت این برنامه ها132-3-1 جنبه های سطح عالی در درون سازمان.. 132-3-2 جنبه های فنی هر یک از برنامه های تحت وب شرکت های خصوصی.. 132-4 مروری بر ویژگی های فایروال برنامه کاربردی وب.. 142-4-1 چه مواقعی WAFها برای امنیت برنامه های تحت وب مناسب هستند. 142-4-2 نمونه ای از مکانیزم های امنیتی WAFها با استفاده از اسیب پذیری های خاص... 152-5 بررسی اجمالی مزایا و خطرات ناشی از فایروال های برنامه های تحت وب.. 202-5-1 مزیت اصلی WAFها202-5-2 مزایای اضافی WAFها وابسته به عملکرد واقعی محصولات.. 202-6 امنیت در مقابل OWASP TOP10 - مقایسه WAFها و روش های دیگر. 212-7 معیارهای تصمیم گیری برای استفاده و یا عدم استفاده از WAF. 272-7-1 معیارهای گسترده سازمانی.. 272-7-2 ضوابط مربوط به یک برنامه تحت وب.. 282-7-3 ارزیابی.. 282-7-4 در نظر گرفتن جنبه های مالی.. 292-8 بهترین شیوه برای معرفی و عملکرد WAF. 302-8-1 جنبه های موجود در زیرساخت های وب.. 302-8-1-1 زیرساخت های مرکزی و یا غیر مرکزی تغییرات قابل پیش بینی.. 302-8-1-2 معیار کارایی.. 312-8-2 جنبه های سازمانی.. 312-8-2-1 منطبق با سیاست های امنیتی موجود. 312-8-2-2 مدیر برنامه های تحت وب.. 312-8-3 روال های تکراری پیاده سازی.. 32فصل سوم اﻣﻨﻴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎی ﻛﺎرﺑﺮدی تحت وب3-1 ﻣﻘﺪﻣﻪ343-2 روﻳﻜﺮد343-3 ﺳﻄﻮح وارﺳﻲ اﻣﻨﻴﺖ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻛﺎرﺑﺮدی363-3-1 ﺳﻄﺢ 1 وارﺳﻲ ﺧﻮدﻛﺎر363-3-1-1 ﺳﻄﺢ 1A ﭘﻮﻳﺶ ﭘﻮﻳﺎ (وارﺳﻲ ﺧﻮدﻛﺎر ﺟﺰﻳﻲ).. 383-3-1-2 ﺳﻄﺢ1B ﭘﻮﻳﺶ ﻛﺪ ﻣﻨﺒﻊ (وارﺳﻲ ﺧﻮدﻛﺎر ﺟﺰﻳﻲ).. 393-3-2 ﺳﻄﺢ 2 وارﺳﻲ دﺳﺘﻲ393-3-2-1 ﺳﻄﺢ 2A ازﻣﻮن اﻣﻨﻴﺖ (وارﺳﻲ دﺳﺘﻲ ﺟﺰئی).. 423-3-2-2 ﺳﻄﺢ 2B- ﺑﺎزﺑﻴﻨﻲ ﻛﺪ (وارﺳﻲ دﺳﺘﻲ ﺟﺰﻳﻲ)433-3-3 ﺳﻄﺢ 3 وارﺳﻲ ﻃﺮاﺣﻲ433-3-4 ﺳﻄﺢ 4 وارﺳﻲ داﺧﻠﻲ453-4 ﺟﺰﺋﻴﺎت وارﺳﻲ ﻧﻴﺎزﻣﻨﺪیﻫﺎ483-4-1 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﻣﺴﺘﻨﺪﺳﺎزی ﻣﻌﻤﺎری اﻣﻦ493-4-2 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﺣﺮاز ﻫﻮﻳﺖ523-4-3 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻣﺪﻳﺮﻳﺖ ﻧﺸﺴﺖ553-4-4 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ593-4-5 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻋﺘﺒﺎرﺳﻨﺠﻲ633-4-6 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻛﺪﮔﺬاری ﺧﺮوﺟﻲ673-4-7 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ رﻣﺰﻧﮕﺎری703-4-8 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺛﺒﺖ وﻛﻨﺘﺮل ﺧﻄﺎ733-4-9 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺣﻔﺎﻇﺖ دادهﻫﺎ763-4-10 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ ارﺗﺒﺎﻃﺎت783-4-11 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ HTTP.. 813-4-12 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﭘﻴﻜﺮﺑﻨﺪی اﻣﻨﻴﺘﻲ843-4-13 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺟﺴﺘﺠﻮی ﻛﺪﻫﺎی ﻣﺨﺮب853-4-14 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ داﺧﻠﻲ863-5 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﮔﺰارش وارﺳﻲ86فصل چهارم اﺷﻨﺎﻳﻰ ﺑﺎ ﺣﻤﻼت SQL Injection4-1 ﻣﻘﺪﻣﻪ894-2 ﺣﻤﻠﻪی ﺗﺰرﻳﻖ SQL.. 894-3 ﻣﺪلﺳﺎزی ﺧﻄﺮ904-4 ﻋﻮاﻣﻞ ﺧﻄﺮ914-5 ازﻣﻮن ﺗﺰرﻳﻖ SQL.. 954-5-1 ازﻣﻮن ﺗﺰرﻳﻖ SQL اﺳﺘﺎﻧﺪارد.. 974-5-2 ازﻣﻮن ﺗﺰرﻳﻖ SQL از ﻃﺮﻳﻖ اﻟﺤﺎق ﭘﺮس وﺟﻮﻫﺎ.. 984-5-3 ازﻣﻮن ﺗﺰرﻳﻖ SQL ﻛﻮر.. 994-6 ﺗﺰرﻳﻖ روالﻫﺎی ذﺧﻴﺮه ﺷﺪه1014-7 ﺗﺰرﻳﻖ SQL ﻛﻮر.. 1024-8 اﻧﮕﺸﺖ ﻧﮕﺎری از RDBMS.. 1034-9 ﺣﻤﻠﻪی Timing.. 1034-10 روشهای مقابله با حملات SQL Injection. 104فصل پنجم اﺷﻨﺎﻳﻰ ﺑﺎ ﺣﻤﻼت XSS5-1 ﻣﻘﺪﻣﻪ1075-2 تشریح حملات XSS. 1085-3 روشﻫﺎی امنیتی.. 1085-3-1 راه ﺣﻞ ﻛﺪﮔﺬاری1085-3-2 ﻣﺪﻳﺮﻳﺖ ﺧﺼﻴﺼﻪﻫﺎ1095-3-3 ﻣﻮﺟﻮدﻳﺖﻫﺎی HTML و ﻓﻴﻠﺘﺮﻫﺎ.. 1115-3-4 روﻳﻜﺮد Exclusion.. 1155-4 راه های مقابله با حملات XSS. 1185-5 بهره برداری.. 119فصل ششم مدیریت نشست6-1 مقدمه. 1236-2 ملاحظات امنیتی و اقدامات متقابل.. 1236-3 به کارگیری رمزنگاری در تمامی مبادلات.. 1236-3-1 پیاده سازی HTTPOnly در زبان های برنامه نویسی.. 1246-3-2 پشتیبانی مرورگرهای مختلف از HTTPOnly. 1256-4 تنها ذخیره شناسه نشست درسمت کلاینت... 1256-5 پیاده سازی فیلترینگ پارامتر Referrer متد GET. 1266-6 شناسایی و بررسی کاربر برای جلوگیری از حمله ربودن نشست... 1266-7 انقضای نشست در صورت عدم فعالیت... 1276-8 شناسه نشست را قابل مشاهده قرار ندهید. 1286-9 انتخاب شناسه نشست مناسب... 1286-10 جلوگیری از اسیب پذیری XSS. 1286-11 اجبار در ایجاد شناسه نشست سمت سرور. 129فصل هفتم نتیجه گیری و ارزیابی7-1 نتیجه گیری و ارزیابی.. 131فهرست منابع.. 133فهرست شکل هاشکل 1-1 اشنایی با معماری فایروال.. 3شکل 2-1 مزایای WAF. 29ﺷﻜﻞ3-1 ﺳﻄﻮح OWASP ASVS 35ﺷﻜﻞ 3-2 ﺳﻄﻮح A1وB1در OWASP ASVS.. 37ﺷﻜﻞ 3-3 ﻣﺜﺎل ﻣﻌﻤﺎری اﻣﻦ در ﺳﻄﺢ 1 از OWASP ASVS. .38ﺷﻜﻞ 3-4 ﺳﻄﻮح 39A2و B2در OWASP ASVS. ﺷﻜﻞ 3-5 ﻣﺜﺎل ﻣﻌﻤﺎری اﻣﻦ، در ﺳﻄﺢ 2 از 42OWASP ASVSﺷﻜﻞ3-6 ﺳﻄﺢ 3 در 43OWASP ASVSﺷﻜﻞ 3-7 ﻣﺜﺎﻟﻲ از ﻣﻌﻤﺎری اﻣﻦ در ﺳﻄﺢ 3 از OWASP ASVS.45ﺷﻜﻞ 3-8 ﺳﻄﺢ 4 در 46OWASP ASVSﺷﻜﻞ 3-9 ﻣﺜﺎل ﻛﺪ ازﻣﺎﻳﺶ ﻧﺸﺪه ﺳﻄﺢ 4 در 48OWASP ASVS. شکل 3-10 نمای کلی یک گزارش... 87شکل 5-1 نحوه انجام حمله XSS. 121شکل 6-1 پشتیبانی مرورگرهای مختلف از HTTPOnly. 125شکل6-2 پیاده سازی فیلترینگ... 126شکل 6-3 مثال هایی از مقادیر رشته برای شناسایی کاربر. 127فهرست جدول هاجدول 2-1 نمونهای از مکانیزمهای امنیتی WAFها بااستفاده از اسیب پذیریهای خاص... 16جدول 2-2 امنیت در مقابل OWASP TOP10. 22ﺟﺪول 3-1 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﻣﻌﻤﺎری اﻣﻦ.. 51ﺟﺪول 3-2 ﻧﻴﺎزﻣﻨﺪیﻫﺎی اﺣﺮاز ﻫﻮﻳﺖ... 56ﺟﺪول 3-3 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﻣﺪﻳﺮﻳﺖ ﻧﺸﺴﺖ59ﺟﺪول 3-4 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ.. 62ﺟﺪول 3-5 ﻧﻴﺎزﻣﻨﺪیﻫﺎی اﻋﺘﺒﺎرﺳﻨﺠﻲ ورودی.. 65ﺟﺪول 3-6 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﻛﺪﮔﺬاری ﺧﺮوﺟﻲ.. 68ﺟﺪول 3-7 ﻧﻴﺎزﻣﻨﺪیﻫﺎی رﻣﺰﻧﮕﺎری.. 71ﺟﺪول3-8 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﺛﺒﺖ و ﻛﻨﺘﺮل ﺧﻄﺎ74ﺟﺪول3-9 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﺣﻔﺎﻇﺖ داده. 76ﺟﺪول 3-10 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ارﺗﺒﺎﻃﺎت اﻣﻦ.. 79ﺟﺪول 3-11 ﻧﻴﺎزﻣﻨﺪیﻫﺎی اﻣﻨﻴﺖHTTP80ﺟﺪول 3-12 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﭘﻴﻜﺮﺑﻨﺪی اﻣﻨﻴﺘﻲ.. 85ﺟﺪول 3-13 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﺟﺴﺘﺠﻮی ﻛﺪ ﻣﺨﺮب.. 85ﺟﺪول 3-14 ﻧﻴﺎزﻣﻨﺪیﻫﺎی اﻣﻨﻴﺖ داﺧﻠﻲ.. 86
پروژه فایروال های برنامه های تحت وب
پروژه فایروال های برنامه های تحت وب پژوهش کامل در حوزه کامپیوتر و IT میباشد و در 7 فصل تنظیم شده است.این پروژه با معرفی فایروال و انواع آن و بررسی حملات موجود تحت وب پرداخته است.شما میتوانید فهرست مطالب پروژه را در ادامه مشاهده نمایید.پروژه بصورت فایل قابل ویرایش ورد(WORD) در 94 صفحه برای رشته کامپیوتر و IT در پایین همین صفحه قابل دانلود میباشد. شایسته یادآوری است که پروژه از ابتدا تا پایان ویرایش وتنظیم , سکشن بندی (section) ، نوشتن پاورقی (Footnote) و فهرست گذاری اتوماتیک کامل شده وآماده تحویل یا کپی برداری از مطالب مفید آن است.چکیدهبرنامه های کاربردی تحت وب که در سال های اخیر رشد بسیاری داشته اند، مورد هدف حمله هکرها واقع شده اند. هکرها از روش-هایی استفاده می کنند که به طور خاص با هدف بهره برداری از نقاط ضعف نرم افزارهای کاربردی تحت وب طراحی می شوند و این حمله ها توسط سیستم های امنیتی سنتی IT مانند فایروال های شبکه یا سیستم های IDS/IPS با دقت کافی قابل تشخیص نیستند. این ابزارها توسط OWASP توسعه داده شده و برای افرادی که در بخش امنیتی برای توسعه و بهره برداری ایمن از یک برنامه کاربردی تحت وب فعالیت می کنند، مناسب می باشند. یکی از این نوع ابزارها، ابزاری به نام Web Application Firewalls است، (که ممکن است با نام های Web Application Shields یا Web Application Security Filters نیز خوانده شود) که برای محافظت در مقابل حمله های صورت گرفته، به ویژه برای برنامه های کاربردی تحت وب مورد استفاده قرار می گیرد.واژه های کلیدی:ﺑﺮﻧﺎﻣﻪ ﻛﺎرﺑﺮدی، وب، ﻛﻨﺘﺮل اﻣﻨﻴﺖ، مدیریت نشستفهرست مطالبفصل اول مقدمه ای بر Firewall1-1 مقدمه. 21-2 مقدمه ای بر Firewall21-3 انواع فایروال.. 31-4 موقعیت یابی برای فایروال.. 51-5 ویژگی ها و معایب IPSها61-6 بررسی عوامل نیاز ما به WAF. 71-7 معرفی فایروال های مجهز و مدرن 81-7-1 عملکرد SmartWAF. 81-7-2 مدیریت SmartWAF. 91-8 معیار ارزیابی برنامه فایروال.. 91-8-1 WAFEC1.0 عرضه شده. 101-8-2 WAFEC2.0 در دست اقدام. 10فصل دوم فایروال های برنامه های تحت وب2-1 مقدمه. 122-2 تعریف واژه WAF- فایروال برنامه های تحت وب.. 122-3 ویژگی های برنامه های کاربردی وب نسبت به امنیت این برنامه ها132-3-1 جنبه های سطح عالی در درون سازمان.. 132-3-2 جنبه های فنی هر یک از برنامه های تحت وب شرکت های خصوصی.. 132-4 مروری بر ویژگی های فایروال برنامه کاربردی وب.. 142-4-1 چه مواقعی WAFها برای امنیت برنامه های تحت وب مناسب هستند. 142-4-2 نمونه ای از مکانیزم های امنیتی WAFها با استفاده از اسیب پذیری های خاص... 152-5 بررسی اجمالی مزایا و خطرات ناشی از فایروال های برنامه های تحت وب.. 202-5-1 مزیت اصلی WAFها202-5-2 مزایای اضافی WAFها وابسته به عملکرد واقعی محصولات.. 202-6 امنیت در مقابل OWASP TOP10 - مقایسه WAFها و روش های دیگر. 212-7 معیارهای تصمیم گیری برای استفاده و یا عدم استفاده از WAF. 272-7-1 معیارهای گسترده سازمانی.. 272-7-2 ضوابط مربوط به یک برنامه تحت وب.. 282-7-3 ارزیابی.. 282-7-4 در نظر گرفتن جنبه های مالی.. 292-8 بهترین شیوه برای معرفی و عملکرد WAF. 302-8-1 جنبه های موجود در زیرساخت های وب.. 302-8-1-1 زیرساخت های مرکزی و یا غیر مرکزی تغییرات قابل پیش بینی.. 302-8-1-2 معیار کارایی.. 312-8-2 جنبه های سازمانی.. 312-8-2-1 منطبق با سیاست های امنیتی موجود. 312-8-2-2 مدیر برنامه های تحت وب.. 312-8-3 روال های تکراری پیاده سازی.. 32فصل سوم اﻣﻨﻴﺖ ﺑﺮﻧﺎﻣﻪﻫﺎی ﻛﺎرﺑﺮدی تحت وب3-1 ﻣﻘﺪﻣﻪ343-2 روﻳﻜﺮد343-3 ﺳﻄﻮح وارﺳﻲ اﻣﻨﻴﺖ ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻛﺎرﺑﺮدی363-3-1 ﺳﻄﺢ 1 وارﺳﻲ ﺧﻮدﻛﺎر363-3-1-1 ﺳﻄﺢ 1A ﭘﻮﻳﺶ ﭘﻮﻳﺎ (وارﺳﻲ ﺧﻮدﻛﺎر ﺟﺰﻳﻲ).. 383-3-1-2 ﺳﻄﺢ1B ﭘﻮﻳﺶ ﻛﺪ ﻣﻨﺒﻊ (وارﺳﻲ ﺧﻮدﻛﺎر ﺟﺰﻳﻲ).. 393-3-2 ﺳﻄﺢ 2 وارﺳﻲ دﺳﺘﻲ393-3-2-1 ﺳﻄﺢ 2A ازﻣﻮن اﻣﻨﻴﺖ (وارﺳﻲ دﺳﺘﻲ ﺟﺰئی).. 423-3-2-2 ﺳﻄﺢ 2B- ﺑﺎزﺑﻴﻨﻲ ﻛﺪ (وارﺳﻲ دﺳﺘﻲ ﺟﺰﻳﻲ)433-3-3 ﺳﻄﺢ 3 وارﺳﻲ ﻃﺮاﺣﻲ433-3-4 ﺳﻄﺢ 4 وارﺳﻲ داﺧﻠﻲ453-4 ﺟﺰﺋﻴﺎت وارﺳﻲ ﻧﻴﺎزﻣﻨﺪیﻫﺎ483-4-1 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﻣﺴﺘﻨﺪﺳﺎزی ﻣﻌﻤﺎری اﻣﻦ493-4-2 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﺣﺮاز ﻫﻮﻳﺖ523-4-3 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻣﺪﻳﺮﻳﺖ ﻧﺸﺴﺖ553-4-4 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ593-4-5 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻋﺘﺒﺎرﺳﻨﺠﻲ633-4-6 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﻛﺪﮔﺬاری ﺧﺮوﺟﻲ673-4-7 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ رﻣﺰﻧﮕﺎری703-4-8 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺛﺒﺖ وﻛﻨﺘﺮل ﺧﻄﺎ733-4-9 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺣﻔﺎﻇﺖ دادهﻫﺎ763-4-10 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ ارﺗﺒﺎﻃﺎت783-4-11 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ HTTP.. 813-4-12 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﭘﻴﻜﺮﺑﻨﺪی اﻣﻨﻴﺘﻲ843-4-13 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ ﺟﺴﺘﺠﻮی ﻛﺪﻫﺎی ﻣﺨﺮب853-4-14 ﻧﻴﺎزﻣﻨﺪیﻫﺎی وارﺳﻲ اﻣﻨﻴﺖ داﺧﻠﻲ863-5 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﮔﺰارش وارﺳﻲ86فصل چهارم اﺷﻨﺎﻳﻰ ﺑﺎ ﺣﻤﻼت SQL Injection4-1 ﻣﻘﺪﻣﻪ894-2 ﺣﻤﻠﻪی ﺗﺰرﻳﻖ SQL.. 894-3 ﻣﺪلﺳﺎزی ﺧﻄﺮ904-4 ﻋﻮاﻣﻞ ﺧﻄﺮ914-5 ازﻣﻮن ﺗﺰرﻳﻖ SQL.. 954-5-1 ازﻣﻮن ﺗﺰرﻳﻖ SQL اﺳﺘﺎﻧﺪارد.. 974-5-2 ازﻣﻮن ﺗﺰرﻳﻖ SQL از ﻃﺮﻳﻖ اﻟﺤﺎق ﭘﺮس وﺟﻮﻫﺎ.. 984-5-3 ازﻣﻮن ﺗﺰرﻳﻖ SQL ﻛﻮر.. 994-6 ﺗﺰرﻳﻖ روالﻫﺎی ذﺧﻴﺮه ﺷﺪه1014-7 ﺗﺰرﻳﻖ SQL ﻛﻮر.. 1024-8 اﻧﮕﺸﺖ ﻧﮕﺎری از RDBMS.. 1034-9 ﺣﻤﻠﻪی Timing.. 1034-10 روشهای مقابله با حملات SQL Injection. 104فصل پنجم اﺷﻨﺎﻳﻰ ﺑﺎ ﺣﻤﻼت XSS5-1 ﻣﻘﺪﻣﻪ1075-2 تشریح حملات XSS. 1085-3 روشﻫﺎی امنیتی.. 1085-3-1 راه ﺣﻞ ﻛﺪﮔﺬاری1085-3-2 ﻣﺪﻳﺮﻳﺖ ﺧﺼﻴﺼﻪﻫﺎ1095-3-3 ﻣﻮﺟﻮدﻳﺖﻫﺎی HTML و ﻓﻴﻠﺘﺮﻫﺎ.. 1115-3-4 روﻳﻜﺮد Exclusion.. 1155-4 راه های مقابله با حملات XSS. 1185-5 بهره برداری.. 119فصل ششم مدیریت نشست6-1 مقدمه. 1236-2 ملاحظات امنیتی و اقدامات متقابل.. 1236-3 به کارگیری رمزنگاری در تمامی مبادلات.. 1236-3-1 پیاده سازی HTTPOnly در زبان های برنامه نویسی.. 1246-3-2 پشتیبانی مرورگرهای مختلف از HTTPOnly. 1256-4 تنها ذخیره شناسه نشست درسمت کلاینت... 1256-5 پیاده سازی فیلترینگ پارامتر Referrer متد GET. 1266-6 شناسایی و بررسی کاربر برای جلوگیری از حمله ربودن نشست... 1266-7 انقضای نشست در صورت عدم فعالیت... 1276-8 شناسه نشست را قابل مشاهده قرار ندهید. 1286-9 انتخاب شناسه نشست مناسب... 1286-10 جلوگیری از اسیب پذیری XSS. 1286-11 اجبار در ایجاد شناسه نشست سمت سرور. 129فصل هفتم نتیجه گیری و ارزیابی7-1 نتیجه گیری و ارزیابی.. 131فهرست منابع.. 133فهرست شکل هاشکل 1-1 اشنایی با معماری فایروال.. 3شکل 2-1 مزایای WAF. 29ﺷﻜﻞ3-1 ﺳﻄﻮح OWASP ASVS 35ﺷﻜﻞ 3-2 ﺳﻄﻮح A1وB1در OWASP ASVS.. 37ﺷﻜﻞ 3-3 ﻣﺜﺎل ﻣﻌﻤﺎری اﻣﻦ در ﺳﻄﺢ 1 از OWASP ASVS. .38ﺷﻜﻞ 3-4 ﺳﻄﻮح 39A2و B2در OWASP ASVS. ﺷﻜﻞ 3-5 ﻣﺜﺎل ﻣﻌﻤﺎری اﻣﻦ، در ﺳﻄﺢ 2 از 42OWASP ASVSﺷﻜﻞ3-6 ﺳﻄﺢ 3 در 43OWASP ASVSﺷﻜﻞ 3-7 ﻣﺜﺎﻟﻲ از ﻣﻌﻤﺎری اﻣﻦ در ﺳﻄﺢ 3 از OWASP ASVS.45ﺷﻜﻞ 3-8 ﺳﻄﺢ 4 در 46OWASP ASVSﺷﻜﻞ 3-9 ﻣﺜﺎل ﻛﺪ ازﻣﺎﻳﺶ ﻧﺸﺪه ﺳﻄﺢ 4 در 48OWASP ASVS. شکل 3-10 نمای کلی یک گزارش... 87شکل 5-1 نحوه انجام حمله XSS. 121شکل 6-1 پشتیبانی مرورگرهای مختلف از HTTPOnly. 125شکل6-2 پیاده سازی فیلترینگ... 126شکل 6-3 مثال هایی از مقادیر رشته برای شناسایی کاربر. 127فهرست جدول هاجدول 2-1 نمونهای از مکانیزمهای امنیتی WAFها بااستفاده از اسیب پذیریهای خاص... 16جدول 2-2 امنیت در مقابل OWASP TOP10. 22ﺟﺪول 3-1 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﻣﻌﻤﺎری اﻣﻦ.. 51ﺟﺪول 3-2 ﻧﻴﺎزﻣﻨﺪیﻫﺎی اﺣﺮاز ﻫﻮﻳﺖ... 56ﺟﺪول 3-3 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﻣﺪﻳﺮﻳﺖ ﻧﺸﺴﺖ59ﺟﺪول 3-4 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ.. 62ﺟﺪول 3-5 ﻧﻴﺎزﻣﻨﺪیﻫﺎی اﻋﺘﺒﺎرﺳﻨﺠﻲ ورودی.. 65ﺟﺪول 3-6 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﻛﺪﮔﺬاری ﺧﺮوﺟﻲ.. 68ﺟﺪول 3-7 ﻧﻴﺎزﻣﻨﺪیﻫﺎی رﻣﺰﻧﮕﺎری.. 71ﺟﺪول3-8 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﺛﺒﺖ و ﻛﻨﺘﺮل ﺧﻄﺎ74ﺟﺪول3-9 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﺣﻔﺎﻇﺖ داده. 76ﺟﺪول 3-10 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ارﺗﺒﺎﻃﺎت اﻣﻦ.. 79ﺟﺪول 3-11 ﻧﻴﺎزﻣﻨﺪیﻫﺎی اﻣﻨﻴﺖHTTP80ﺟﺪول 3-12 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﭘﻴﻜﺮﺑﻨﺪی اﻣﻨﻴﺘﻲ.. 85ﺟﺪول 3-13 ﻧﻴﺎزﻣﻨﺪیﻫﺎی ﺟﺴﺘﺠﻮی ﻛﺪ ﻣﺨﺮب.. 85ﺟﺪول 3-14 ﻧﻴﺎزﻣﻨﺪیﻫﺎی اﻣﻨﻴﺖ داﺧﻠﻲ.. 86