بازارسال شده از reyhane kornokar
اساتید گرامیبا سلام و احترام 
به اطلاع میرسد کمیسیون نرمافزار نظام صنفی رایانه ای استان لرستان با همکاری دانشگاه ملی مهارت استان لرستان کمپینی با عنوان «دیتای دانایی» برگزار میکند.هدف این پویش، جمعآوری کتابهای تست، جزوهها و منابع آموزشی رشته کامپیوتر برای حمایت از دانشآموزان هنرستانی در سراسر استان است.
خواهشمند است در صورت تمایل، این اطلاعیه را برای دانشجویان خود ارسال فرمایید تا در این حرکت فرهنگی و علمی مشارکت نمایند.
زمان جمعآوری: ۳آبان تا ۱۰ آبان
شماره تماس: 09168480075
آیدی کمپین: rk_it1399@
> دانایی مثل داده است؛ وقتی به اشتراک گذاشته میشود، ارزشمندتر میگردد.
با سپاس از همراهی و همدلی شما
به اطلاع میرسد کمیسیون نرمافزار نظام صنفی رایانه ای استان لرستان با همکاری دانشگاه ملی مهارت استان لرستان کمپینی با عنوان «دیتای دانایی» برگزار میکند.هدف این پویش، جمعآوری کتابهای تست، جزوهها و منابع آموزشی رشته کامپیوتر برای حمایت از دانشآموزان هنرستانی در سراسر استان است.
خواهشمند است در صورت تمایل، این اطلاعیه را برای دانشجویان خود ارسال فرمایید تا در این حرکت فرهنگی و علمی مشارکت نمایند.
> دانایی مثل داده است؛ وقتی به اشتراک گذاشته میشود، ارزشمندتر میگردد.
با سپاس از همراهی و همدلی شما
۳:۴۴
فاز ۰: بنیادهای مستحکم (پیشنیازها)قبل از اینکه بتوانید امن کد بزنید، باید بتوانید کد بزنید و بفهمید سیستمها چگونه کار میکنند.
تسلط بر یک زبان برنامهنویسی:
شما نمیتوانید از چیزی که نمیفهمید محافظت کنید. حداقل بر یک زبان برنامهنویسی مسلط باشید.
پیشنهاد: Python (عالی برای اسکریپتنویسی امنیتی، اتوماسیون و ابزارهای تست)، Go (مدرن، عالی برای ابزارهای شبکه و زیرساخت)، یا زبانی که در آن کار میکنید (مانند Java, C#, Node.js).
درک عمیق از شبکههای کامپیوتری:
مدل OSI و TCP/IP (حداقل لایههای کلیدی).
پروتکلهای اساسی: HTTP/HTTPS (تفاوتها، متدها، کدها)، DNS، SSL/TLS (چگونگی Handshake).
مبانی سیستمعامل:
مفاهیم Linux (اغلب سرورها لینوکس هستند): ساختار فایل، مدیریت کاربران و دسترسیها (Permissions)، فرآیندها (Processes).
مفاهیم Windows (Active Directory، Registry) نیز مفید است.
مبانی وب و API:
معماری کلاینت-سرور (Client-Server).
تفاوت RESTful API و SOAP.
مفاهیم JSON و XML.
۱۷:۱۱
فاز ۱: مفاهیم کلیدی امنیت (الفبای امنیت)
سهگانه CIA (مثلث امنیت):
محرمانگی (Confidentiality): جلوگیری از دسترسی غیرمجاز.
یکپارچگی (Integrity): اطمینان از عدم تغییر دادهها.
در دسترس بودن (Availability): اطمینان از اینکه سرویس در زمان نیاز در دسترس است.
مفاهیم AAA:
احراز هویت (Authentication): شما چه کسی هستید؟ (مانند رمز عبور، OTP).
اعطای مجوز (Authorization): شما چه کاری میتوانید انجام دهید؟ (مانند نقشهای Admin, User).
حسابرسی (Accounting/Auditing): شما چه کارهایی انجام دادهاید؟ (ثبت لاگها).
مبانی رمزنگاری (Cryptography):
تفاوت رمزنگاری متقارن (Symmetric) و نامتقارن (Asymmetric).
هشینگ (Hashing): (MD5، SHA-256) و تفاوت آن با رمزنگاری.
امضای دیجیتال (Digital Signatures) و گواهیهای SSL/TLS.
سهگانه CIA (مثلث امنیت):
محرمانگی (Confidentiality): جلوگیری از دسترسی غیرمجاز.
یکپارچگی (Integrity): اطمینان از عدم تغییر دادهها.
در دسترس بودن (Availability): اطمینان از اینکه سرویس در زمان نیاز در دسترس است.
مفاهیم AAA:
احراز هویت (Authentication): شما چه کسی هستید؟ (مانند رمز عبور، OTP).
اعطای مجوز (Authorization): شما چه کاری میتوانید انجام دهید؟ (مانند نقشهای Admin, User).
حسابرسی (Accounting/Auditing): شما چه کارهایی انجام دادهاید؟ (ثبت لاگها).
مبانی رمزنگاری (Cryptography):
تفاوت رمزنگاری متقارن (Symmetric) و نامتقارن (Asymmetric).
هشینگ (Hashing): (MD5، SHA-256) و تفاوت آن با رمزنگاری.
امضای دیجیتال (Digital Signatures) و گواهیهای SSL/TLS.
۱۷:۱۲
فاز ۲: تفکر هجومی (دشمن را بشناس)برای ساختن یک قلعه امن، باید بدانید مهاجمان چگونه به آن حمله میکنند.
OWASP Top 10 (وب):
این "انجیل" امنیت وب است. باید تمام ۱۰ مورد اصلی را عمیقاً درک کنید، بفهمید چگونه کار میکنند و چگونه از آنها جلوگیری کنید.
مثالها: Injection (SQL, Command), Broken Authentication, Sensitive Data Exposure, Broken Access Control, Cross-Site Scripting (XSS), Server-Side Request Forgery (SSRF).
OWASP Top 10 (API):
با توجه به رواج گسترده APIها، این لیست حتی ممکن است مهمتر از لیست وب باشد.
مثالها: Broken Object Level Authorization (BOLA), Improper Assets Management.
مفاهیم رایج حملات دیگر:
Phishing (فیشینگ)
Malware (بدافزار)
DDoS (حملات منع سرویس)
Man-in-the-Middle (MITM)
OWASP Top 10 (وب):
این "انجیل" امنیت وب است. باید تمام ۱۰ مورد اصلی را عمیقاً درک کنید، بفهمید چگونه کار میکنند و چگونه از آنها جلوگیری کنید.
مثالها: Injection (SQL, Command), Broken Authentication, Sensitive Data Exposure, Broken Access Control, Cross-Site Scripting (XSS), Server-Side Request Forgery (SSRF).
OWASP Top 10 (API):
با توجه به رواج گسترده APIها، این لیست حتی ممکن است مهمتر از لیست وب باشد.
مثالها: Broken Object Level Authorization (BOLA), Improper Assets Management.
مفاهیم رایج حملات دیگر:
Phishing (فیشینگ)
Malware (بدافزار)
DDoS (حملات منع سرویس)
Man-in-the-Middle (MITM)
۱۷:۱۲
فاز ۳: برنامهنویسی دفاعی (ساختن قلعه)اینجا هسته اصلی «برنامهنویسی امنیت» است. چگونه کدی بنویسیم که در برابر حملات فاز ۲ مقاوم باشد.
اعتبارسنجی ورودیها (Input Validation):
هرگز، هرگز و هرگز به ورودی کاربر اعتماد نکنید.
یادگیری Whitelist (لیست سفید) به جای Blacklist (لیست سیاه).
کدگذاری خروجی (Output Encoding):
اصل اساسی برای جلوگیری از حملات XSS. (بسته به context خروجی، مثلاً HTML, JavaScript, CSS).
جلوگیری از Injection:
استفاده انحصاری از Queryهای پارامتری (Parameterized Queries) یا ORMها برای جلوگیری از SQL Injection.
مدیریت احراز هویت و نشست (Session Management):
ذخیرهسازی امن رمزهای عبور (فقط Hashed و Salted).
مدیریت امن کوکیها (HttpOnly, Secure, SameSite).
استفاده امن از JWT (JSON Web Tokens).
مدیریت خطا و لاگبرداری:
عدم نشت اطلاعات حساس در پیامهای خطا (Stack Traces، نسخههای نرمافزار، ...).
لاگبرداری (Logging) رخدادهای امنیتی مهم (مانند تلاش ناموفق برای ورود، تغییر دسترسی).
اصل کمترین دسترسی (Principle of Least Privilege):
هر کاربر و هر سرویس فقط باید به حداقل اطلاعات و منابعی که برای کارش نیاز دارد، دسترسی داشته باشد.
اعتبارسنجی ورودیها (Input Validation):
هرگز، هرگز و هرگز به ورودی کاربر اعتماد نکنید.
یادگیری Whitelist (لیست سفید) به جای Blacklist (لیست سیاه).
کدگذاری خروجی (Output Encoding):
اصل اساسی برای جلوگیری از حملات XSS. (بسته به context خروجی، مثلاً HTML, JavaScript, CSS).
جلوگیری از Injection:
استفاده انحصاری از Queryهای پارامتری (Parameterized Queries) یا ORMها برای جلوگیری از SQL Injection.
مدیریت احراز هویت و نشست (Session Management):
ذخیرهسازی امن رمزهای عبور (فقط Hashed و Salted).
مدیریت امن کوکیها (HttpOnly, Secure, SameSite).
استفاده امن از JWT (JSON Web Tokens).
مدیریت خطا و لاگبرداری:
عدم نشت اطلاعات حساس در پیامهای خطا (Stack Traces، نسخههای نرمافزار، ...).
لاگبرداری (Logging) رخدادهای امنیتی مهم (مانند تلاش ناموفق برای ورود، تغییر دسترسی).
اصل کمترین دسترسی (Principle of Least Privilege):
هر کاربر و هر سرویس فقط باید به حداقل اطلاعات و منابعی که برای کارش نیاز دارد، دسترسی داشته باشد.
۱۷:۱۳
فاز ۴: اکوسیستم DevSecOps (امنیت در چرخه تولید)برنامهنویس امن مدرن، ابزارها و فرآیندهای امنیتی را در چرخه CI/CD ادغام میکند.
مفهوم CI/CD/CS: (Continuous Integration / Delivery / Security).
ابزارهای تحلیل کد ایستا (SAST - Static Analysis):
ابزارهایی که کد شما را بدون اجرا بررسی میکنند تا آسیبپذیریها را پیدا کنند.
مثالها: SonarQube, Snyk Code, Bandit (برای پایتون).
ابزارهای تحلیل کد پویا (DAST - Dynamic Analysis):
ابزارهایی که برنامه در حال اجرا را از بیرون تست میکنند (مانند یک هکر خودکار).
مثالها: OWASP ZAP (رایگان و عالی)، Burp Suite (نسخه Community).
تحلیل وابستگیها (SCA - Software Composition Analysis):
بررسی کتابخانهها و فریمورکهایی که استفاده میکنید (dependencies) برای یافتن آسیبپذیریهای شناختهشده (CVEs).
مثالها: Snyk Open Source, npm audit, GitHub Dependabot.
امنیت کانتینر و ارکستریشن:
مبانی Docker Security (اسکن ایمیجها، عدم اجرای به عنوان root).
مبانی Kubernetes Security (RBAC, Network Policies, Pod Security Policies).
زیرساخت به عنوان کد (IaC) و امنیت آن:
یادگیری ابزارهایی مانند Terraform و نحوه امنسازی کانفیگهای آن (مثلاً با tfsec).
مفهوم CI/CD/CS: (Continuous Integration / Delivery / Security).
ابزارهای تحلیل کد ایستا (SAST - Static Analysis):
ابزارهایی که کد شما را بدون اجرا بررسی میکنند تا آسیبپذیریها را پیدا کنند.
مثالها: SonarQube, Snyk Code, Bandit (برای پایتون).
ابزارهای تحلیل کد پویا (DAST - Dynamic Analysis):
ابزارهایی که برنامه در حال اجرا را از بیرون تست میکنند (مانند یک هکر خودکار).
مثالها: OWASP ZAP (رایگان و عالی)، Burp Suite (نسخه Community).
تحلیل وابستگیها (SCA - Software Composition Analysis):
بررسی کتابخانهها و فریمورکهایی که استفاده میکنید (dependencies) برای یافتن آسیبپذیریهای شناختهشده (CVEs).
مثالها: Snyk Open Source, npm audit, GitHub Dependabot.
امنیت کانتینر و ارکستریشن:
مبانی Docker Security (اسکن ایمیجها، عدم اجرای به عنوان root).
مبانی Kubernetes Security (RBAC, Network Policies, Pod Security Policies).
زیرساخت به عنوان کد (IaC) و امنیت آن:
یادگیری ابزارهایی مانند Terraform و نحوه امنسازی کانفیگهای آن (مثلاً با tfsec).
۱۷:۱۳
فاز ۵: تخصص و یادگیری مداوم (سفر ادامه دارد)امنیت یک مقصد نیست، یک فرآیند بیپایان است.
انتخاب یک حوزه تخصصی:
Cloud Security (AWS, Azure, GCP): بسیار پرتقاضا.
Mobile Security (iOS/Android).
Application Penetration Testing (تست نفوذ برنامهها).
Incident Response & Forensics (واکنش به حوادث و جرمشناسی دیجیتال).
به روز ماندن:
دنبال کردن وبلاگهای امنیتی (مانند The Hacker News, Bleeping Computer).
آشنایی با CVE (Common Vulnerabilities and Exposures) های جدید.
شرکت در پلتفرمهای Capture The Flag (CTF) مانند Hack The Box یا TryHackMe برای تمرین عملی.
انتخاب یک حوزه تخصصی:
Cloud Security (AWS, Azure, GCP): بسیار پرتقاضا.
Mobile Security (iOS/Android).
Application Penetration Testing (تست نفوذ برنامهها).
Incident Response & Forensics (واکنش به حوادث و جرمشناسی دیجیتال).
به روز ماندن:
دنبال کردن وبلاگهای امنیتی (مانند The Hacker News, Bleeping Computer).
آشنایی با CVE (Common Vulnerabilities and Exposures) های جدید.
شرکت در پلتفرمهای Capture The Flag (CTF) مانند Hack The Box یا TryHackMe برای تمرین عملی.
۱۷:۱۴
صبور باشید: این یک ماراتن است، نه یک دو سرعت. از مبانی شروع کنید.
عملی کار کنید: تئوری کافی نیست. یک آزمایشگاه کوچک برای خودتان بسازید (با استفاده از VMها یا Docker) و سعی کنید حملات را شبیهسازی کنید و سپس جلوی آنها را بگیرید.
۱۷:۱۵
کلاس ابزارهای طراحی وب تاریخ ۸/۱۲ برگزار نمیشود.
۵:۱۸
کانال اطلاعرسانی و آموزشی مهدیه معتمدی
Git-2.47.0-64-bit.exe
نصب برنامه git bash برای دانشجویان درس مباحث ویژه الزامی می باشد.
۵:۴۸
قابل توجه دانشجویان درس پروژه در اسرع وقت گزارش کار خود را ارسال نمایید، به دانشجویانی که تا 20 آبان ماه گزارش فعالیت های خود را ارسال نکنند اجازه دفاع داده نخواهد شد.
۱۶:۵۷
انجمن علمی گروه کامپیوتر دانشگاه آزاد مشهد با همکاری پژوهشگران جوان و نخبگان واحد مشهد در نظر دارد در راستای هفته پژوهش سلسله مسابقات برنامه نویسی را برگزار کند:
مسابقه شماره ۱
تاریخ برگزاری:۱۶ آبان ماه
زمان برگزاری:جمعه ۱۳-۱۰
نحوه برگزاری:مجازی
کلیه پاسخهای ارائهشده در پایان مسابقه توسط هیئت داوران مورد بررسی قرار خواهند گرفت. در صورت احراز هرگونه تقلب، همکاری غیرمجاز، یا استفاده از ابزارهای تولید محتوای خودکار (از جمله چتباتهای هوش مصنوعی)، شرکتکننده متخلف از ادامه حضور در این رقابت و محرومیت از شرکت در سایر مسابقات انجمن برخوردار خواهد شد.
به منظور اطلاع از فرایند ثبتنام و یا کسب اطلاعات بیشتر، به پشتیبانی پیام دهیدhttp://t.me/CSAIAUM_admin
سایت انجمن علمی گروه کامپیوتر:www.CSAIAUM.ir
اینستاگرام انجمن علمی گروه کامپیوتر:http://instagram.com/csa_iaum
ایمیل انجمن علمی گروه کامپیوتر:CSA@mshdiau.ac.ir
کلیه پاسخهای ارائهشده در پایان مسابقه توسط هیئت داوران مورد بررسی قرار خواهند گرفت. در صورت احراز هرگونه تقلب، همکاری غیرمجاز، یا استفاده از ابزارهای تولید محتوای خودکار (از جمله چتباتهای هوش مصنوعی)، شرکتکننده متخلف از ادامه حضور در این رقابت و محرومیت از شرکت در سایر مسابقات انجمن برخوردار خواهد شد.
۱۷:۲۰
هر دو سکشن طراحی وب روز شنبه ۱۷ آبان صبح ساعت ۸ تا ۱۲ (آزمون تئوری و عملی میانترم) برگزار میشود.
۸:۳۸