ساخت کد Time-based one time password همراه با زمان انقضای آن


به صورت پیشفرض دات نت از کلاس Rfc6238AuthenticationService برای ایجاد و اعتبارسنجی کد totp استفاده می کند. مشکلی که در این کلاس وجود دارد آن است که کد totp را که تولید می کند به مدت 9 دقیقه معتبر است. این زمان قابل تغییر نیست و به صورت هارد کد نوشته شده است. ....
ادامه مطلب

نامعتبر سازی کوکی ها بعد از تغییر کلمه عبور کاربران


در Asp.Net Core به طور پیش فرض کوکی ها هر 30 دقیقه یک بار اعتبارسنجی میشوند. یعنی زمانی که کاربر به سایت لاگین میکند و اطلاعات خود را وارد میکند Claim های فعلی کابر در کوکی ذخیره میشود و میتواند به صفحه های مورد نظر خود دسترسی پیدا کند و تا 30 دقیقه اعتبارسنجی کوکی ها صورت نمیگیرد ....
ادامه مطلب

روشی برای محدود کردن API ها که هر درخواست با یک Key جدید قابل فراخوانی باشد ( Time-based One-time Password )


TOTP یک الگوریتمی است که از ساعت برای تولید رمزهای یکبارمصرف استفاده میکند. به این صورت که در هر لحظه یک کد منحصر به فرد تولید خواهد شد. اگر با برنامه Google Authenticator کار کرده باشید این مفهوم برایتان اشناست. در این مطلب میخواهیم سناریویی را پیاده سازی کنیم که برای ....
ادامه مطلب

جلوگیری از Brute Force Attack


یکی از حملات رایج که توسعه دهندگان با آن روبرو هستند Brute-Force Attack میباشد.در این حملات برای کشف رمزعبور کاربران هر ترکیب احتمالی از حروف, اعداد و نمادها را استفاده میکنند تا یک ترکیب صحیح را بدست آورند. اگر وب سایت شما نیاز به احرازهویت دارد شما یک هدف مناسب برای حملات Brute-Force هستید ....
ادامه مطلب

نحوه پیاده سازی فراموشی رمز عبور در وب سایت OWASP


قدم اول : اطلاعات هویتی یا سوالات امنیتی جمع آوری کنید. در صفحه اول پیاده سازی یک فراموشی رمز عبور امن از کاربر میخواهید حداقل اطلاعاتی را که قبلا ثبت کرده است را وارد کند. حداقل باید داده هایی را جمع آوری کرده باشید که این امکان را به شما بدهد که اطلاعات بازیابی کلمه عبور را به کاربر از ....
ادامه مطلب

هدرهای امنیتی در Asp.Net Core


به صورت پیشفرض امکان نمایش سایت شما در داخل iframe وجود دارد. اما با استفاده از هدر X-Frame-Option میتوان جلوی این کار را گرفت. اما چرا؟ زیرا هرکس میتواند وب سایت شما را داخل یک iframe نمایش دهد و یک لایه ی ....
ادامه مطلب

حداقل نکات امنیتی در Asp.Net Core


در این مقاله به بررسی چند نکته امنیتی میپردازیم که برای هر وب سایتی الزامیست. لاگین خود را امن پیاده سازی کنید همیشه داده های مهم را هنگام ارسال رمزنگاری کنید کوکی کاربر را بعد از خروج پاک کنید همیشه از SSL استفاده کنید ....
ادامه مطلب

معرفی Json Web Token


توکن یا Json Web Token و یا به اختصار JWT چیست؟ توکن یک استاندارد وب است که به صورت فشره و خود شمول ( Self-contained ) طراحی شده است و یک راه امن برای انتقال اطلاعات بین مقاصد را توسط یک شی Json فراهم میکند. این اطلاعات قابل ....
ادامه مطلب