Thank you for sending your enquiry! One of our team members will contact you shortly.
Thank you for sending your booking! One of our team members will contact you shortly.
План на курса
Въведение
Проучване на OWASP проекта за тестване
- Принципи на тестване Техники за тестване Извличане на изисквания за тестове за сигурност Тестове за сигурност, интегрирани в работните потоци за разработка и тестване Анализ и докладване на данни от тестове за сигурност
Работа с OWASP рамка за тестване
- Фаза 1: Преди да започне разработката Фаза 2: По време на дефиниране и проектиране Фаза 3: По време на разработка Фаза 4: По време на внедряване Фаза 5: Поддръжка и операции Типичен работен процес за тестване на жизнения цикъл Методологии за тестване за проникване
Тестване на сигурността на уеб приложението
- Въведение и цели Събиране на информация Провеждане на откриване на търсачка и разузнаване за изтичане на информация Уеб сървър за пръстови отпечатъци Преглед на метафайловете на уеб сървъра за изтичане на информация Изброяване на приложенията на уеб сървъра Преглед на съдържанието на уеб страницата за изтичане на информация Идентифициране на входните точки на приложението Картиране на пътищата за изпълнение чрез рамка на уеб приложение за пръстови отпечатъци Карта на уеб приложение за пръстови отпечатъци архитектура на приложението Тестване на управление на конфигурация и внедряване Тестване на конфигурация на мрежа/инфраструктура Тестване на конфигурация на платформа за приложения Тестване на обработка на файлови разширения за чувствителна информация Преглед на стари, резервни и непрепоръчани файлове за чувствителна информация Изброяване на интерфейси за администриране на инфраструктура и приложения Тестване на HTTP методи Тестване на HTTP стриктна транспортна сигурност Тестване на RIA политика за кръстосани домейни Тестване на разрешение за файл Тестване за превземане на поддомейн Тестване на облачно съхранение
Идентичност Management Тестване
- Тествайте дефиниции на роли Тествайте процеса на регистрация на потребител Тествайте процеса на осигуряване на акаунт Тестване за изброяване на акаунти и потребителски акаунти, които могат да се отгатват Тестване за слаба или неприложена политика за потребителско име
Тестване за удостоверяване
- Тестване за идентификационни данни, пренасяни по криптиран канал Тестване за идентификационни данни по подразбиране Тестване за слаб механизъм за блокиране Тестване за заобикаляне на схема за удостоверяване Тестване за уязвима парола за запомняне Тестване за слабост на кеша на браузъра Тестване за слаба политика за парола Тестване за слаб отговор на въпрос за сигурност Тестване за слаба промяна на парола или функционалности за нулиране Тестване за по-слабо удостоверяване в алтернативен канал
Тестване на авторизация
- Тестване на обхождане на директория/включване на файл Тестване за заобикаляне на схема за оторизация Тестване за ескалация на привилегии Тестване за несигурни директни препратки към обекти
Сесия Management Тестване
- Тестване за схема за управление на сесии Тестване за атрибути на бисквитки Тестване за фиксиране на сесия Тестване за открити сесийни променливи Тестване за фалшифициране на заявки между сайтове Тестване за функционалност за излизане Тестване на изчакване на сесия Тестване за озадачаваща сесия Тестване за отвличане на сесия
Тестване за проверка на входа
- Тестване за отразени междусайтови скриптове Тестване за съхранени междусайтови скриптове Тестване за подправяне на HTTP глаголи Тестване за замърсяване на HTTP параметри Тестване за SQL инжектиране Тестване за Oracle Тестване за MySQL Тестване за SQL сървър Тестване за PostgreSQL Тестване за MS Access Тестване за NoSQL инжектиране Тестване за ORM инжектиране Тестване за клиентско тестване за LDAP инжектиране Тестване за XML инжектиране Тестване за SSI инжектиране Тестване за XPath инжектиране Тестване за IMAP/SMTP инжектиране Тестване за инжектиране на код Тестване за включване на локален файл Тестване за включване на отдалечен файл Тестване за инжектиране на команди Тестване за инжектиране на форматиран низ Тестване за инкубирана уязвимост Тестване за HTTP разделяне/контрабанда Тестване за HTTP входящи заявки Тестване за инжектиране на хедър на хост Тестване за инжектиране на шаблони от страна на сървъра Тестване за фалшифициране на заявки от страна на сървъра
Тестване за обработка на грешки
- Тестване за неправилно обработване на грешки Тестване за следи на стека
Тестване за слаба криптография
- Тестване за слаба сигурност на транспортния слой Тестване за подпълване Oracle Тестване за чувствителна информация, изпратена през некриптирани канали Тестване за слабо криптиране
Business Тестване на логика
- Въведение в бизнес логиката Тествайте валидиране на данни на бизнес логиката Тествайте способността за фалшифициране на заявки Тествайте проверки за цялост Тествайте времето на процеса Тествайте броя пъти, в които дадена функция може да се използва ограничения Тествайте за заобикаляне на работни потоци Тествайте защити срещу злоупотреба с приложения Тествайте качване на неочаквани типове файлове Тествайте качване на злонамерени файлове
Тестване от страна на клиента
- Тестване за DOM-базирано междусайтово скриптиране Тестване за JavaScript изпълнение Тестване за HTML инжектиране Тестване за URL пренасочване от страна на клиента Тестване за CSS инжектиране Тестване за манипулиране на ресурси от страна на клиента Тестване на кръстосано споделяне на ресурси Тестване за междусайтово мигане Тестване за clickjacking Тестване WebSockets Тестване на уеб съобщения Тестване на съхранението на браузъра Тестване за включване на кръстосани скриптове
API Testing
- Тестване GraphQL
Докладване
- Въведение Резюме Констатации Приложения
Изисквания
- Общо разбиране на жизнения цикъл на уеб разработката Опит в разработката, сигурността и тестването на уеб приложения.
Публика
- Разработчици Инженери Архитекти
21 Hours
Oтзиви от потребители (1)
Виждане на живо на действителното изпълнение на действията с помощта на примерни инструменти за тестване/кракване на сигурността на приложенията.
Paweł - Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy
Course - Web Security with the OWASP Testing Framework
Machine Translated