Schița de curs

Introducere

Explorarea proiectului de testare OWASP.

  • Principii de testare
  • Tehnici de testare
  • Derivarea cerințelor de testare de securitate
  • Teste de securitate integrate în fluxurile de lucru de dezvoltare și testare
  • Analiza și raportarea datelor testelor de securitate

Lucrul cu Cadrul de testare OWASP.

  • Faza 1: Înainte de începerea dezvoltării
  • Faza 2: În timpul definirii și proiectării
  • Faza 3: În timpul dezvoltării
  • Faza 4: În timpul implementării
  • Faza 5: Întreținere și operațiuni
  • Un flux de lucru tipic de testare a ciclului de viață
  • Metodologii de testare la penetrare

Testarea securității aplicației web

  • Introducere și obiective
  • Colectarea de informații
  • Efectuați descoperirea și recunoașterea motorului de căutare pentru scurgeri de informații
  • Server web de amprente
  • Examinați metafișierele serverului web pentru scurgeri de informații
  • Enumerați aplicațiile pe serverul web
  • Examinați conținutul paginii web pentru scurgeri de informații
  • Identificați punctele de intrare în aplicație
  • Hartă căile de execuție prin aplicație
  • Cadrul aplicației web pentru amprentă digitală
  • Aplicație web pentru amprentă
  • Arhitectura aplicației pentru hărți
  • Testarea managementului configurației și implementării
  • Testați configurația rețelei/infrastructurii
  • Testați configurația platformei aplicației
  • Testați manipularea extensiilor de fișiere pentru informații sensibile
  • Examinați fișierele vechi, de rezervă și fără referință pentru informații sensibile
  • Enumerați infrastructura și interfețele de administrare a aplicațiilor
  • Testați metodele HTTP
  • Testați securitatea strictă a transportului HTTP
  • Testați politica RIA între domenii
  • Permisiunea de testare a fișierului
  • Testează preluarea subdomeniului
  • Testați stocarea în cloud

Identity Management Testare

  • Testați definițiile rolurilor
  • Testați procesul de înregistrare a utilizatorului
  • Testați procesul de furnizare a contului
  • Testare pentru enumerarea conturilor și contul de utilizator ghicit
  • Testarea politicii privind numele de utilizator slabe sau neaplicate

Testare de autentificare

  • Testarea acreditărilor transportate pe un canal criptat
  • Testarea acreditărilor implicite
  • Testarea mecanismului de blocare slab
  • Testarea pentru ocolirea schemei de autentificare
  • Testarea pentru vulnerabilități amintiți parola
  • Testarea deficienței cache a browserului
  • Testarea politicii de parole slabe
  • Testarea răspunsului la întrebarea de securitate slabă
  • Testarea pentru funcționalități slabe de schimbare sau resetare a parolei
  • Testarea pentru autentificare mai slabă pe canalul alternativ

Testarea autorizației

  • Testarea directorului traversal/file include
  • Testarea pentru ocolirea schemei de autorizare
  • Testarea pentru escaladarea privilegiilor
  • Testarea referințelor directe nesigure la obiecte

Sesiunea Management Testare

  • Testarea schemei de gestionare a sesiunii
  • Testarea atributelor cookie-urilor
  • Testare pentru fixarea sesiunii
  • Testarea variabilelor de sesiune expuse
  • Testare pentru falsificarea cererii pe mai multe site-uri
  • Testarea funcționalității de deconectare
  • Sesiunea de testare expiră
  • Testare pentru derutarea sesiunii
  • Testare pentru deturnarea sesiunii

Testarea de validare a intrărilor

  • Testare pentru scripting reflectat cross site
  • Testarea scripturilor stocate pe mai multe site-uri
  • Testare pentru modificarea verbului HTTP
  • Testarea poluării cu parametrii HTTP
  • Testarea pentru SQL injectare
  • Testare pentru Oracle
  • Testare pentru MySQL
  • Testare pentru SQL server
  • Testare pentru PostgreSQL
  • Testare pentru MS Access
  • Testarea pentru NoSQL injectare
  • Testarea injecției ORM
  • Testare pentru partea clientului
  • Testarea pentru LDAP injectare
  • Testarea pentru XML injectare
  • Testarea injecției SSI
  • Testarea pentru XPath injectare
  • Testare pentru injecția IMAP/SMTP
  • Testarea injectării codului
  • Testare pentru includerea fișierelor locale
  • Testare pentru includerea fișierelor de la distanță
  • Testarea pentru injecția de comandă
  • Testarea pentru injectarea șirurilor de format
  • Testarea vulnerabilității incubate
  • Testare pentru divizarea/contrabanda HTTP
  • Testarea solicitărilor HTTP primite
  • Testarea injectării antetului gazdei
  • Testare pentru injectarea șablonului pe server
  • Testare pentru falsificarea cererilor pe partea serverului

Testarea pentru gestionarea erorilor

  • Testarea pentru tratarea necorespunzătoare a erorilor
  • Testarea urmelor stivei

Testarea pentru Criptografie slabă

  • Testarea pentru securitatea nivelului de transport slab
  • Testare pentru umplutură Oracle
  • Testarea informațiilor sensibile trimise prin canale necriptate
  • Testarea pentru criptare slabă

Business Testare logică

  • Introducere în logica afacerii
  • Testați validarea datelor logicii de afaceri
  • Testați capacitatea de a falsifica cereri
  • Testați verificări de integritate
  • Testare pentru sincronizarea procesului
  • Testați limitele de câte ori o funcție poate fi utilizată
  • Testarea pentru eludarea fluxurilor de lucru
  • Testați apărările împotriva utilizării greșite a aplicației
  • Testați încărcarea tipurilor de fișiere neașteptate
  • Testați încărcarea fișierelor rău intenționate

Testare pe partea clientului

  • Testare pentru scripturi încrucișate bazate pe DOM
  • Testare pentru Javaexecuția scriptului
  • Testarea pentru HTML injecție
  • Testarea redirecționării URL la nivelul clientului
  • Testarea pentru CSS injecție
  • Testare pentru manipularea resurselor pe partea clientului
  • Testarea partajării resurselor între origini
  • Testare pentru intermiterea între site-uri
  • Testare pentru clickjacking
  • Testarea WebSockets
  • Testarea mesajelor web
  • Testarea stocării browserului
  • Testare pentru includerea de scripturi între site-uri

API Testing

  • Testare GraphQL

Raportare

  • Introducere
  • Rezumat
  • Constatări
  • Anexe

Cerințe

    O înțelegere generală a ciclului de viață al dezvoltării web Experiență în dezvoltarea, securitatea și testarea aplicațiilor web.

Audiență

    Dezvoltatorii Inginerii Arhitecți
  21 ore

Numărul de participanți



Pret per participant

Mărturii (1)

Cursuri înrudite

CRISC - Certified in Risk and Information Systems Control

  21 ore

Microsoft SDL Core

  14 ore

Standard Java Security

  14 ore

Java and Web Application Security

  21 ore

Advanced Java Security

  21 ore

Advanced Java, JEE and Web Application Security

  28 ore

.NET, C# and ASP.NET Security Development

  14 ore

Comprehensive C# and .NET Application Security

  21 ore

Advanced C#, ASP.NET and Web Application Security

  21 ore

Categorii înrudite