Thank you for sending your enquiry! One of our team members will contact you shortly.
Thank you for sending your booking! One of our team members will contact you shortly.
Schița de curs
Introducere
Explorarea proiectului de testare OWASP.
- Principii de testare
- Tehnici de testare
- Derivarea cerințelor de testare de securitate
- Teste de securitate integrate în fluxurile de lucru de dezvoltare și testare
- Analiza și raportarea datelor testelor de securitate
Lucrul cu Cadrul de testare OWASP.
- Faza 1: Înainte de începerea dezvoltării
- Faza 2: În timpul definirii și proiectării
- Faza 3: În timpul dezvoltării
- Faza 4: În timpul implementării
- Faza 5: Întreținere și operațiuni
- Un flux de lucru tipic de testare a ciclului de viață
- Metodologii de testare la penetrare
Testarea securității aplicației web
- Introducere și obiective
- Colectarea de informații
- Efectuați descoperirea și recunoașterea motorului de căutare pentru scurgeri de informații
- Server web de amprente
- Examinați metafișierele serverului web pentru scurgeri de informații
- Enumerați aplicațiile pe serverul web
- Examinați conținutul paginii web pentru scurgeri de informații
- Identificați punctele de intrare în aplicație
- Hartă căile de execuție prin aplicație
- Cadrul aplicației web pentru amprentă digitală
- Aplicație web pentru amprentă
- Arhitectura aplicației pentru hărți
- Testarea managementului configurației și implementării
- Testați configurația rețelei/infrastructurii
- Testați configurația platformei aplicației
- Testați manipularea extensiilor de fișiere pentru informații sensibile
- Examinați fișierele vechi, de rezervă și fără referință pentru informații sensibile
- Enumerați infrastructura și interfețele de administrare a aplicațiilor
- Testați metodele HTTP
- Testați securitatea strictă a transportului HTTP
- Testați politica RIA între domenii
- Permisiunea de testare a fișierului
- Testează preluarea subdomeniului
- Testați stocarea în cloud
Identity Management Testare
- Testați definițiile rolurilor
- Testați procesul de înregistrare a utilizatorului
- Testați procesul de furnizare a contului
- Testare pentru enumerarea conturilor și contul de utilizator ghicit
- Testarea politicii privind numele de utilizator slabe sau neaplicate
Testare de autentificare
- Testarea acreditărilor transportate pe un canal criptat
- Testarea acreditărilor implicite
- Testarea mecanismului de blocare slab
- Testarea pentru ocolirea schemei de autentificare
- Testarea pentru vulnerabilități amintiți parola
- Testarea deficienței cache a browserului
- Testarea politicii de parole slabe
- Testarea răspunsului la întrebarea de securitate slabă
- Testarea pentru funcționalități slabe de schimbare sau resetare a parolei
- Testarea pentru autentificare mai slabă pe canalul alternativ
Testarea autorizației
- Testarea directorului traversal/file include
- Testarea pentru ocolirea schemei de autorizare
- Testarea pentru escaladarea privilegiilor
- Testarea referințelor directe nesigure la obiecte
Sesiunea Management Testare
- Testarea schemei de gestionare a sesiunii
- Testarea atributelor cookie-urilor
- Testare pentru fixarea sesiunii
- Testarea variabilelor de sesiune expuse
- Testare pentru falsificarea cererii pe mai multe site-uri
- Testarea funcționalității de deconectare
- Sesiunea de testare expiră
- Testare pentru derutarea sesiunii
- Testare pentru deturnarea sesiunii
Testarea de validare a intrărilor
- Testare pentru scripting reflectat cross site
- Testarea scripturilor stocate pe mai multe site-uri
- Testare pentru modificarea verbului HTTP
- Testarea poluării cu parametrii HTTP
- Testarea pentru SQL injectare
- Testare pentru Oracle
- Testare pentru MySQL
- Testare pentru SQL server
- Testare pentru PostgreSQL
- Testare pentru MS Access
- Testarea pentru NoSQL injectare
- Testarea injecției ORM
- Testare pentru partea clientului
- Testarea pentru LDAP injectare
- Testarea pentru XML injectare
- Testarea injecției SSI
- Testarea pentru XPath injectare
- Testare pentru injecția IMAP/SMTP
- Testarea injectării codului
- Testare pentru includerea fișierelor locale
- Testare pentru includerea fișierelor de la distanță
- Testarea pentru injecția de comandă
- Testarea pentru injectarea șirurilor de format
- Testarea vulnerabilității incubate
- Testare pentru divizarea/contrabanda HTTP
- Testarea solicitărilor HTTP primite
- Testarea injectării antetului gazdei
- Testare pentru injectarea șablonului pe server
- Testare pentru falsificarea cererilor pe partea serverului
Testarea pentru gestionarea erorilor
- Testarea pentru tratarea necorespunzătoare a erorilor
- Testarea urmelor stivei
Testarea pentru Criptografie slabă
- Testarea pentru securitatea nivelului de transport slab
- Testare pentru umplutură Oracle
- Testarea informațiilor sensibile trimise prin canale necriptate
- Testarea pentru criptare slabă
Business Testare logică
- Introducere în logica afacerii
- Testați validarea datelor logicii de afaceri
- Testați capacitatea de a falsifica cereri
- Testați verificări de integritate
- Testare pentru sincronizarea procesului
- Testați limitele de câte ori o funcție poate fi utilizată
- Testarea pentru eludarea fluxurilor de lucru
- Testați apărările împotriva utilizării greșite a aplicației
- Testați încărcarea tipurilor de fișiere neașteptate
- Testați încărcarea fișierelor rău intenționate
Testare pe partea clientului
- Testare pentru scripturi încrucișate bazate pe DOM
- Testare pentru Javaexecuția scriptului
- Testarea pentru HTML injecție
- Testarea redirecționării URL la nivelul clientului
- Testarea pentru CSS injecție
- Testare pentru manipularea resurselor pe partea clientului
- Testarea partajării resurselor între origini
- Testare pentru intermiterea între site-uri
- Testare pentru clickjacking
- Testarea WebSockets
- Testarea mesajelor web
- Testarea stocării browserului
- Testare pentru includerea de scripturi între site-uri
API Testing
- Testare GraphQL
Raportare
- Introducere
- Rezumat
- Constatări
- Anexe
Cerințe
-
O înțelegere generală a ciclului de viață al dezvoltării web
Experiență în dezvoltarea, securitatea și testarea aplicațiilor web.
Audiență
-
Dezvoltatorii
Inginerii
Arhitecți
21 ore
Mărturii (1)
Să vedeți în direct implementarea efectivă a activităților cu ajutorul unor exemple de instrumente de testare/rupere a securității aplicațiilor.
Paweł - Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy
Curs - Web Security with the OWASP Testing Framework
Tradus de catre o masina