در این دورهٔ جامع و کاربردی، شما با مهم‌ترین تهدیدات امنیتی مربوط به APIها آشنا می‌شوید و روش‌های محافظت از برنامه‌های مبتنی بر RESTful و GraphQL را فرا خواهید گرفت. این آموزش با تمرکز بر OWASP API Security Top 10 2021 طراحی شده و مثال‌های عملی آن با زبان برنامه‌نویسی جاوا ارائه می‌شود تا بتوانید مفاهیم را در پروژه‌های واقعی پیاده‌سازی کنید.

• شناخت کامل فهرست OWASP API Security Top 10 2021 و ریسک‌های هر مورد
• تکنیک‌های احراز هویت و مجوزدهی امن برای API
• تکنیک‌های محافظت در برابر حملات تزریق (Injection) و فیلترینگ ورودی‌ها
• پیکربندی امنیتی مناسب برای HTTPS، CORS و HSTS
• ساخت و تجزیه JWT و جلوگیری از سوءاستفاده در امضاها
• روش‌های اعتبارسنجی داده‌های ارسال‌شده و جلوگیری از افشای اطلاعات حساس
• نظارت و لاگ‌گذاری هوشمند برای شناسایی رفتارهای مشکوک
• استفاده از مثال‌های عملی جاوا و Spring Boot برای پیاده‌سازی کنترل‌های امنیتی

• افزایش مهارت‌های امنیتی در سطح حرفه‌ای برای توسعه‌دهندگان و معماران نرم‌افزار
• قابلیت پاسخگویی به نیازهای امنیتی سازمان‌ها و مشتریان با رعایت استانداردهای OWASP
• کسب توانایی ارزیابی و تست امنیت APIها در پروژه‌های واقعی
• ایجاد اعتماد بیشتر کاربران و شرکت‌ها به سرویس‌های وب و موبایل
• آمادگی برای آزمون‌های بین‌المللی امنیت نرم‌افزار

• آشنایی پایه‌ای با زبان جاوا و فریم‌ورک Spring Boot
• درک مفاهیم HTTP، RESTful API و JSON
• تجربه کار با پایگاه داده و اصول ORM (مانند Hibernate)
• آشنایی مقدماتی با مفاهیم امنیت نرم‌افزار و رمزنگاری

• مقدمه و معرفی OWASP API Security Top 10
• تجزیه و تحلیل ریسک‌های A1 تا A10
• پیاده‌سازی Secure Authentication با OAuth2 و JWT
• حمله‌های Injection و روش‌های پیشگیری
• مسائل مربوط به Exposed Data و Data Leakage
• Rate Limiting، Throttling و کنترل دسترسی
• پیکربندی امنیتی مناسب برای CORS و CSP
• نظارت، لاگ‌گذاری و مانیتورینگ امنیت
• آزمون نفوذ و اسکن خودکار برای API
• به‌کارگیری تست‌های امنیتی در چرخه توسعه CI/CD

در هر بخش از دوره، مثال‌های ساده و پیشرفته با Spring Boot ارائه می‌شود تا نکات زیر را به صورت کاربردی یاد بگیرید:

• ایجاد یک فیلتر سفارشی برای اعتبارسنجی JWT در مسیرهای مختلف
• نحوه جلوگیری از SQL Injection با استفاده از PreparedStatement و JPA Criteria API
• تنظیم HSTS و پیکربندی HTTPS در فایل application.properties
• ایجاد middleware برای مدیریت CORS و محدود کردن منابع مجاز
• استفاده از ابزارهای خودکار مانند OWASP ZAP برای اسکن API در محیط توسعه

• همیشه فرض کنید که حمله‌گر تمام ورودی‌ها را کنترل می‌کند.
• کلید مدیریت JWT را به صورت امن در محیط‌های Production نگهداری کنید.
• به‌روزرسانی منظم کتابخانه‌ها و فریم‌ورک‌ها بهترین راه مقابله با آسیب‌پذیری‌های شناخته‌شده است.
• لاگ‌گذاری فقط برای رفع اشکال نیست، بلکه برای شناسایی حملات زمان واقعی ضروری است.
• استفاده از ابزارهای تست امنیت خودکار کیفیت کار شما را چند برابر می‌کند.

برای دانلود رایگان دوره «امنیت API OWASP Top 10 2021 با مثال‌های جاوا (اکتبر ۲۰۲۲)» می‌توانید از لینک‌های زیر استفاده کنید. این دوره شامل ویدیوهای فارسی و انگلیسی، کدهای نمونه و فایل‌های تمرینی است:

• لینک مستقیم دانلود فایل ویدیوها
• دسترسی به کدهای نمونه در گیت‌هاب
• راهنمای نصب و اجرای پروژه‌ها به صورت گام به گام

پس از دانلود، کافی است پروژه‌های نمونه را در IDE مورد علاقه خود (مانند IntelliJ یا Eclipse) ایمپورت و اجرا کنید. به راحتی می‌توانید تغییرات امنیتی را اعمال و نتایج آن را بررسی کنید.