8474

جلوگیری از حملات XSS در Asp Core

کدسل برنامه نویسی وب Asp.Net Core

لینک کوتاه https://codecell.ir/course/8474
150٬000تومان
مدرس: سهراب قیصری
تعداد ویدیوها: 6
مدت زمان دوره: 01:08:55
وضعیت دوره: به اتمام رسیده
آخرین بروزرسانی: 1401/02/21
به اشتراک گذاری
نظرات
0
دیگر آموزش های مدرس:
xss در asp

XSS  چیست؟

Cross-Site Scripting (XSS) یک آسیب‌پذیری امنیتی است که به مهاجم امکان می‌دهد اسکریپت‌های سمت کلاینت (معمولا جاوا اسکریپت) را در صفحات وب قرار دهد. هنگامی که سایر کاربران صفحات آسیب دیده را بارگذاری می کنند، اسکریپت های مهاجم اجرا می شوند و مهاجم را قادر می سازد کوکی ها و سشن ها را بدزدد، محتویات صفحه وب را از طریق دستکاری DOM تغییر دهد یا مرورگر را به صفحه دیگری هدایت کند. آسیب‌پذیری‌های XSS معمولاً زمانی اتفاق می‌افتند که یک برنامه یک ورودی از کاربر می‌گیرد و آن را بدون اعتبارسنجی به صفحه‌ای ارسال یا در دیتابیس ذخیره می‌کند.

XSS چگونه کار می کند؟

xss با دستکاری یک وب سایت آسیب پذیر کدهای جاوا اسکریپت مخرب را به کاربران برگرداند. هنگامی که کد مخرب در داخل مرورگر قربانی اجرا می شود، مهاجم می تواند به طور کامل تعامل آنها با برنامه را به خطر بیندازد.

انواع حملات XSS چیست؟

سه نوع اصلی از حملات XSS عبارتند از:

  • Reflected XSS، جایی که اسکریپت مخرب از درخواست جاری HTTP می آید.
  • Stored XSS، جایی که اسکریپت مخرب از پایگاه داده وب سایت می آید.
  • XSS مبتنی بر DOM، که در آن آسیب‌پذیری در کد سمت کلاینت به جای کد سمت سرور وجود دارد.

دلایل استفاده از XSS چیست؟

مهاجمی که از XSS استفاده می‌کند، معمولاً می‌تواند کارهای زیر را انجام دهد:

  • جعل هویت یا خودنمایی به عنوان کاربر قربانی.
  • انجام هر عملی را که کاربر قادر به انجام آن است.
  • هر داده ای که کاربر می تواند به آن دسترسی داشته باشد را بخواند.
    اطلاعات ورود کاربر را ضبط کند.
  • تخریب مجازی وب سایت را انجام دهد.
  • قابلیت های تروجان را به وب سایت تزریق کند.

چگونه از حملات XSS جلوگیری کنیم؟

به طور کلی، پیشگیری موثر از آسیب‌پذیری‌های XSS می تواند شامل اقدامات زیر باشد:

  • فیلتر کردن و اعتبارسنجی ورودی های سرور
  • کدگذاری داده ها در خروجی
  • استفاده از هدرهای مناسب ( HTTP Rresponses Headers)
  • سیاست  های امنیتی محتوا (Content Security Policy)

نحوه جلوگیری از XSS در Asp

یکی از ویژگی های ActionFilter در asp این است که می تواند یک منطق را قبل و یا بعد از اجرای action اجرا کند،منظور این است که وقتی سرور یک درخواست را دریافت می کند قبل از اجرای آن درخواست (یا بعد از آن) می تواند منطق هایی را اجرا و سپس درخواست را اجرا کند.
ما در این آموزش با کمک ActionFilter ها در asp یک ActionFilter خواهیم ساخت.وظیفه ی این ActionFilter این است که قبل از اجرای درخواست پارامترهای هر درخواست را دریافت و با کمک Reflection ها در سی شارپ پراپرتی های آن را بدست آورد و سپس پراپرتی هایی که ممکن است حاوی تگ های خطرناک و مستعد حمله XSS باشند را بوسیله کتابخانه HtmlSanitizer پاکسازی و جایگزین کند.با این روش همیشه درخواست های ما حاوی اطلاعات تمیزشده خواهد بود.

 سرفصل های دوره آموزش جلوگیری از XSS در asp core

  1. آشنایی با XSS و پیاده سازی حمله XSS در Asp Core با استفاده از تزریق تگ <script>  
  2. پاکسازی محتویات ورودی از تگ های خطرناک و جلوگیری از XSS با استفاده از کتابخانه HtmlSanitizer در Asp Core 
  3. پاکسازی محتویات ورودی از تگ های خطرناک با استفاده از اعتبارسنجی ورودی و جلوگیری از XSS با استفاده از کتابخانه HtmlSanitizer و FluentValidation در Asp Core 
  4. پاکسازی خودکار محتویات ورودی از تگ های خطرناک و جلوگیری از XSS با استفاده از ActionFilter ها،Reflection ها و کتابخانه HtmlSanitizer در Asp Core 
فهرست ویدیوها
مدت زمان دوره: 01:08:55
01

آشنایی با XSS و ایجاد حمله XSS در Asp.Net Core

00:10:55
02

استفاده از کتابخانه HtmlSanitizer برای جلوگیری از حمله XSS

00:11:18
03

استفاده از HtmlSanitizer و FluentValidation برای جلوگیری از حمله XSS

00:04:40
04

پیاده سازی ActionFilter برای جلوگیری از xss در asp - قسمت اول

00:15:47
05

پیاده سازی ActionFilter برای جلوگیری از xss در asp - قسمت دوم

00:14:04
06

پیاده سازی ActionFilter برای جلوگیری از xss در asp - قسمت سوم (پایانی)

00:12:11

پرسش های متداول

XSS یک آسیب‌پذیری امنیتی است که به مهاجم امکان می‌دهد اسکریپت‌های سمت کلاینت (معمولا جاوا اسکریپت) را در صفحات وب قرار دهد.

xss با دستکاری یک وب سایت آسیب پذیر کدهای جاوا اسکریپت مخرب را به کاربران برگرداند. هنگامی که کد مخرب در داخل مرورگر قربانی اجرا می شود، مهاجم می تواند به طور کامل تعامل آنها با برنامه را به خطر بیندازد.

  • Reflected XSS، جایی که اسکریپت مخرب از درخواست جاری HTTP می آید.
  • Stored XSS، جایی که اسکریپت مخرب از پایگاه داده وب سایت می آید.
  • XSS مبتنی بر DOM، که در آن آسیب‌پذیری در کد سمت کلاینت به جای کد سمت سرور وجود دارد.

مقالات آموزش برنامه نویسی مدرس

Response Caching در ASP.NET Core

Response Caching یک مکانیزم ذخیره سازی پاسخ سرور توسط مرورگر یا سایر کلاینت ها است. با استفاده از Response Caching در Asp.net Core می توانیم عملکرد و کارایی سیستم را بالا ببریم.

688 0 1402/10/22

Output Caching در ASP.NET Core 8.0

Output Caching یک ویژگی جدید است که از زمان .NET 7 معرفی شده است. این ویژگی به ما این امکان را می دهد که به راحتی یک کش پاسخ برای Web API خود بدون پیاده سازی IMemoryCache راه اندازی کنیم.

748 0 1402/10/14

الگوی طراحی زنجیره مسئولیت در سی شارپ

الگوی زنجیره مسئولیت یا Chain of Responsibility Design Pattern یک الگوی طراحی رفتاری(behavioral design pattern) است که اجازه می‌دهد یک درخواست در امتداد زنجیره‌ای از کنترل‌کننده‌های بالقوه ارسال شود تا زمانی که درخواست مناسب برای پردازش آن را پیدا کند.

706 2 1402/10/01

ViewComponent در ASP.NET Core

در ASP.NET Core با استفاده از ViewComponent ها می توان اجزای ماژولار، قابل استفاده مجدد، قابل نگهداری و مقیاس پذیر برای ساخت برنامه های کاربردی وب ایجاد کرد. در این مقاله به نحوه ایجاد و فراخوانی ViewComponent در Asp.net core پرداخته ایم.

1٬475 2 1402/05/15

تطبیق الگو در NET 7: ساده سازی تجزیه و تحلیل داده ها

تطبیق الگو یا Pattern Matching در net7 یک تکنیک قدرتمند برای تجزیه و تحلیل و دستکاری داده ها بر اساس ساختار آن ها است. تطبیق الگو یا Pattern Matching به توسعه دهندگان اجازه می دهد تا مقادیر را با یک الگوی خاص مطابقت دهند و اقدامات مربوطه را انجام دهند.

909 1 1402/04/05

تزریق وابستگی در ASP.NET Core

تزریق وابستگی (DI) یک الگوی طراحی نرم افزاری است که امکان ایجاد برنامه های کاربردی و ماژولار را فراهم می کند.. در .NET Core تزریق وابستگی یا Dependency injection یک ویژگی مهم است که می تواند برای ساده سازی توسعه برنامه، بهبود تست پذیری و کاهش پیچیدگی کد مورد استفاده قرار گیرد.

2٬004 1 1402/02/04

ضروری ترین کتابخانه های NuGet برای ASP.NET Core

در این مقاله مهمترین،ضروری ترین و پرکاربردترین کتابخانه های NuGet که هر توسعه‌ دهنده‌ ASP.NET Core باید برای توسعه بهتر و کاهش زمان مورد نیاز برای برنامه ‌های خود از آن استفاده کنند را مورد بررسی قرار داده ایم.

1٬545 1 1401/12/29

الگوی طراحی Factory در سی شارپ

الگوهای طراحی یکی از مهمترین جنبه های طراحی و معماری نرم افزار است. Factory Method یک الگوی طراحی ایجادی است که یک رابط برای ایجاد اشیاء در یک سوپر کلاس فراهم می‌کند. ما در این مقاله الگوی Factory Method Design در سی شارپ را بررسی می کنیم.

1٬679 1 1401/10/28

مقایسه List و Array در سی شارپ

آرایه و لیست در سی شارپ هر دو به عنوان مجموعه ای از مقادیر عمل می کنند، اما در نحوه ذخیره محتوای خود در حافظه و نحوه دسترسی به آنها متفاوت هستند. در این مقاله Benchmark و کارایی List<T> با سایز داینامیک، List<T> با سایز ثابت و Array ها را بررسی می کنیم.

2٬263 2 1401/09/01

LinkedList در سی شارپ

LinkedList یا لیست پیوندی در سی شارپ یک ساختار داده خطی است که عنصر را در مکان غیر پیوسته ذخیره می کند. LinkedList شامل گره هایی است که هر گره حاوی یک فیلد داده و یک مرجع (پیوند) به گره بعدی در لیست است. در سی شارپ، LinkedList یا لیست پیوندی یک نوع مجموعه جنریک است.

2٬093 0 1401/08/13

Garbage Collection در دات نت

به طور کلی، Garbage Collection (GC) یا جمع آوری زباله در .Net چیزی نیست جز به دست آوردن مجدد حافظه اختصاص داده شده به اشیایی که در حال حاضر در هیچ بخشی از برنامه ما استفاده نمی شوند. ما در این مقاله Garbage Collection را در سی شارپ بررسی خواهیم کرد.

2٬862 5 1401/03/30

.NET Core چیست؟

.Net (با تلفظ «دات نت») یک چارچوب نرم افزاری کامپیوتری مدیریت شده رایگان و منبع باز برای سیستم عامل های ویندوز، لینوکس و macOS است. این پروژه در درجه اول توسط کارمندان مایکروسافت از طریق دات نت توسعه یافته و تحت مجوز MIT منتشر شده است.

2٬621 2 1401/03/16

پشته(Stack) در سی شارپ

پشته یا Stack در سی شارپ یک نوع خطی از ساختار داده است که قادر به ذخیره اشیاء است. پشته یک ساختار داده LIFO یا Last-In-First-Out است، به این معنی که آخرین موردی که در پشته قرار می گیرد اولین موردی است که از پشته خارج می شود.

2٬223 0 1401/03/09

صف (Queue) در سی شارپ

صف (Queue) در سی شارپ یک نوع خطی از ساختار داده است که قادر به ذخیره اشیاء است. Queue یک ساختار داده first-in-first-out یا FIFO است که به این معنی است که اولین مورد اضافه شده به صف اولین موردی است که حذف می شود.

2٬183 0 1401/02/30

تفاوت Hashtable و Dictionary در سی شارپ

در سی شارپ از Hashtable و Dictionary می توان برای ذخیره مجموعه‌ای از داده‌ها، شبیه به List معمولی استفاده کرد. با این تفاوت که Hashtable و Dictionary عناصر را به عنوان جفت Key/Value ذخیره می کنند.در این مقاله به تفاوت های Hashtable و Dictionary پرداخته شده است.

1٬872 2 1401/02/23

Dictionary در سی شارپ

در سی شارپ از دیکشنری ها (Dictionary) می‌توان برای ذخیره مجموعه‌ای از داده‌ها، شبیه به List معمولی استفاده کرد. تفاوت اصلی این است که یک Dictionary می تواند عناصر را به عنوان جفت Key/Value ذخیره کند.Key ها باید منحصر به فرد و نمی توانند null باشند. Value ها می توانند تکراری یا null باشند.

2٬275 3 1401/02/17

Hashtable در سی شارپ

از Hashtable می‌توان برای ذخیره مجموعه‌ای از داده‌ها، شبیه به List معمولی استفاده کرد. تفاوت اصلی این است که یک Hashtable می تواند عناصر را به عنوان جفت Key/Value به عنوان جایگزینی برای استفاده از Index ذخیره کند.

1٬740 5 1401/02/14

Redirect درخواست (ریدایرکت) در asp.net core

در برنامه های ASP.NET Core برای تغییر مسیر(ریدایرکت) و Redirect به یک URL خاص روش های مختلفی وجود دارد. در این مقاله با این تکنیک ها و کدهای مورد نیاز برای تغییر مسیر یک درخواست در ASP.NET Core آشنا می شویم.

2٬604 5 1401/02/12

تبدیل enum به لیست انتخابی در asp.net core

در این آموزش ما بوسیله Reflection ها در سی شارپ و asp.net core یک enum را به لیست انتخابی یا SelectListItem تبدیل خواهیم کرد و بوسیله تگ select در بوت استرپ 5 نمایش می دهیم.

1٬771 3 1401/02/03

نحوه ارسال ایمیل در asp و c#

امروزه ارسال ایمیل به امری ضروری در پروژه های وب تبدیل شده است.از ارسال ایمیل در asp می توان در بخش های تایید حساب کاربری،بازیابی رمز عبور،ایمیل مارکتینگ،ارسال خبرنامه و ... استفاده نمود.در این آموزش نحوه ارسال ایمیل در asp core و سی شارپ پیاده سازی گردیده است.

2٬622 5 1401/02/03
نظرات

برای ثبت نظر باید در سایت ثبت نام یا ورود نمایید