План на курса

Въведение

Проучване на OWASP проекта за тестване

    Принципи на тестване Техники за тестване Извличане на изисквания за тестове за сигурност Тестове за сигурност, интегрирани в работните потоци за разработка и тестване Анализ и докладване на данни от тестове за сигурност

Работа с OWASP рамка за тестване

    Фаза 1: Преди да започне разработката Фаза 2: По време на дефиниране и проектиране Фаза 3: По време на разработка Фаза 4: По време на внедряване Фаза 5: Поддръжка и операции Типичен работен процес за тестване на жизнения цикъл Методологии за тестване за проникване

Тестване на сигурността на уеб приложението

    Въведение и цели Събиране на информация Провеждане на откриване на търсачка и разузнаване за изтичане на информация Уеб сървър за пръстови отпечатъци Преглед на метафайловете на уеб сървъра за изтичане на информация Изброяване на приложенията на уеб сървъра Преглед на съдържанието на уеб страницата за изтичане на информация Идентифициране на входните точки на приложението Картиране на пътищата за изпълнение чрез рамка на уеб приложение за пръстови отпечатъци Карта на уеб приложение за пръстови отпечатъци архитектура на приложението Тестване на управление на конфигурация и внедряване Тестване на конфигурация на мрежа/инфраструктура Тестване на конфигурация на платформа за приложения Тестване на обработка на файлови разширения за чувствителна информация Преглед на стари, резервни и непрепоръчани файлове за чувствителна информация Изброяване на интерфейси за администриране на инфраструктура и приложения Тестване на HTTP методи Тестване на HTTP стриктна транспортна сигурност Тестване на RIA политика за кръстосани домейни Тестване на разрешение за файл Тестване за превземане на поддомейн Тестване на облачно съхранение

Идентичност Management Тестване

    Тествайте дефиниции на роли Тествайте процеса на регистрация на потребител Тествайте процеса на осигуряване на акаунт Тестване за изброяване на акаунти и потребителски акаунти, които могат да се отгатват Тестване за слаба или неприложена политика за потребителско име

Тестване за удостоверяване

    Тестване за идентификационни данни, пренасяни по криптиран канал Тестване за идентификационни данни по подразбиране Тестване за слаб механизъм за блокиране Тестване за заобикаляне на схема за удостоверяване Тестване за уязвима парола за запомняне Тестване за слабост на кеша на браузъра Тестване за слаба политика за парола Тестване за слаб отговор на въпрос за сигурност Тестване за слаба промяна на парола или функционалности за нулиране Тестване за по-слабо удостоверяване в алтернативен канал

Тестване на авторизация

    Тестване на обхождане на директория/включване на файл Тестване за заобикаляне на схема за оторизация Тестване за ескалация на привилегии Тестване за несигурни директни препратки към обекти

Сесия Management Тестване

    Тестване за схема за управление на сесии Тестване за атрибути на бисквитки Тестване за фиксиране на сесия Тестване за открити сесийни променливи Тестване за фалшифициране на заявки между сайтове Тестване за функционалност за излизане Тестване на изчакване на сесия Тестване за озадачаваща сесия Тестване за отвличане на сесия

Тестване за проверка на входа

    Тестване за отразени междусайтови скриптове Тестване за съхранени междусайтови скриптове Тестване за подправяне на HTTP глаголи Тестване за замърсяване на HTTP параметри Тестване за SQL инжектиране Тестване за Oracle Тестване за MySQL Тестване за SQL сървър Тестване за PostgreSQL Тестване за MS Access Тестване за NoSQL инжектиране Тестване за ORM инжектиране Тестване за клиентско тестване за LDAP инжектиране Тестване за XML инжектиране Тестване за SSI инжектиране Тестване за XPath инжектиране Тестване за IMAP/SMTP инжектиране Тестване за инжектиране на код Тестване за включване на локален файл Тестване за включване на отдалечен файл Тестване за инжектиране на команди Тестване за инжектиране на форматиран низ Тестване за инкубирана уязвимост Тестване за HTTP разделяне/контрабанда Тестване за HTTP входящи заявки Тестване за инжектиране на хедър на хост Тестване за инжектиране на шаблони от страна на сървъра Тестване за фалшифициране на заявки от страна на сървъра

Тестване за обработка на грешки

    Тестване за неправилно обработване на грешки Тестване за следи на стека

Тестване за слаба криптография

    Тестване за слаба сигурност на транспортния слой Тестване за подпълване Oracle Тестване за чувствителна информация, изпратена през некриптирани канали Тестване за слабо криптиране

Business Тестване на логика

    Въведение в бизнес логиката Тествайте валидиране на данни на бизнес логиката Тествайте способността за фалшифициране на заявки Тествайте проверки за цялост Тествайте времето на процеса Тествайте броя пъти, в които дадена функция може да се използва ограничения Тествайте за заобикаляне на работни потоци Тествайте защити срещу злоупотреба с приложения Тествайте качване на неочаквани типове файлове Тествайте качване на злонамерени файлове

Тестване от страна на клиента

    Тестване за DOM-базирано междусайтово скриптиране Тестване за JavaScript изпълнение Тестване за HTML инжектиране Тестване за URL пренасочване от страна на клиента Тестване за CSS инжектиране Тестване за манипулиране на ресурси от страна на клиента Тестване на кръстосано споделяне на ресурси Тестване за междусайтово мигане Тестване за clickjacking Тестване WebSockets Тестване на уеб съобщения Тестване на съхранението на браузъра Тестване за включване на кръстосани скриптове

API Testing

    Тестване GraphQL

Докладване

    Въведение Резюме Констатации Приложения

Изисквания

    Общо разбиране на жизнения цикъл на уеб разработката Опит в разработката, сигурността и тестването на уеб приложения.

Публика

    Разработчици Инженери Архитекти
  21 Hours
 

Брой участници


Започва

Свършва


Dates are subject to availability and take place between 09:30 and 16:30.
Open Training Courses require 5+ participants.

Oтзиви от потребители (1)

Свързани Kурсове

CRISC - Certified in Risk and Information Systems Control

  21 Hours

Certificate of Cloud Security Knowledge

  14 Hours

Microsoft SDL Core

  14 Hours

Standard Java Security

  14 Hours

Java and Web Application Security

  21 Hours

Advanced Java Security

  21 Hours

Advanced Java, JEE and Web Application Security

  28 Hours

.NET, C# and ASP.NET Security Development

  14 Hours

Comprehensive C# and .NET Application Security

  21 Hours

Advanced C#, ASP.NET and Web Application Security

  21 Hours

Свързани Kатегории