Návrh Školení

Úvod

Prozkoumání testovacího projektu OWASP

    Principy testování Testovací techniky Odvození požadavků na bezpečnostní testy Bezpečnostní testy integrované do vývojových a testovacích pracovních postupů Analýza dat z testů zabezpečení a reportování

Práce s testovacím rámcem OWASP

    Fáze 1: Před zahájením vývoje Fáze 2: Během definice a návrhu Fáze 3: Během vývoje Fáze 4: Během nasazení Fáze 5: Údržba a provoz Typický pracovní postup testování životního cyklu Metodologie penetračního testování

Testování zabezpečení webové aplikace

    Úvod a cíle Shromažďování informací Provádění zjišťování a průzkumu vyhledávačem pro případ úniku informací Webový server otisků prstů Kontrola metasouborů webového serveru kvůli úniku informací Výčet aplikací na webovém serveru Kontrola obsahu webové stránky kvůli úniku informací Identifikace vstupních bodů aplikace Mapování cest provádění prostřednictvím aplikace Fingerprint web aplikační rámec Fingerprint webová aplikace Mapa aplikační architektura Testování konfigurace a správy nasazení Testování konfigurace sítě/infrastruktury Testování konfigurace aplikační platformy Testování zacházení s příponami souborů pro citlivé informace Kontrola starých, zálohovaných a nereferencovaných souborů pro citlivé informace Výčet rozhraní pro správu infrastruktury a aplikací Testování metod HTTP Testování přísného zabezpečení přenosu HTTP Testování RIA zásady pro více domén Test oprávnění souboru Test převzetí subdomény Test cloudového úložiště

Identita Management Testování

    Definice testovacích rolí Testovací proces registrace uživatele Testovací proces zajišťování účtu Testování výčtu účtů a hádatelného uživatelského účtu Testování slabých nebo nevynucených zásad uživatelského jména

Testování autentizace

    Testování přihlašovacích údajů přenášených šifrovaným kanálem Testování výchozích přihlašovacích údajů Testování slabého mechanismu uzamčení Testování obcházení autentizačního schématu Testování zranitelného zapamatování hesla Testování slabosti mezipaměti prohlížeče Testování slabé zásady hesla Testování slabého zabezpečení otázka odpověď Testování slabé změny hesla nebo reset funkcí Testování slabší autentizace v alternativním kanálu

Autorizační testování

    Testování procházení adresáře/souboru včetně Testování obcházení autorizačního schématu Testování eskalace oprávnění Testování nezabezpečených přímých odkazů na objekty

Relace Management Testování

    Testování schématu správy relací Testování atributů souborů cookie Testování fixace relace Testování odhalených proměnných relace Testování padělání požadavků mezi weby Testování funkčnosti odhlášení Testování časového limitu relace Testování záhadných relací Testování zneužití relace

Testování ověření vstupu

    Testování odraženého skriptování mezi stránkami Testování uloženého skriptování mezi stránkami Testování neoprávněné manipulace se slovesy HTTP Testování znečištění parametrů HTTP Testování pro SQL injection Testování pro Oracle Testování pro MySQL Testování pro SQL server Testování pro PostgreSQL Testování pro MS Access Testování pro NoSQL injection Testování pro ORM vkládání Testování pro vkládání LDAP na straně klienta Testování vkládání XML Testování vkládání SSI Testování vkládání XPath Testování vkládání IMAP/SMTP Testování vkládání kódu Testování zahrnutí lokálního souboru Testování zahrnutí vzdáleného souboru Testování vkládání příkazů Testování pro vkládání formátovacího řetězce Testování inkubované zranitelnosti Testování dělení/pašování HTTP Testování příchozích požadavků HTTP Testování vkládání hlaviček hostitele Testování vkládání šablon na straně serveru Testování padělání požadavků na straně serveru

Testování na zpracování chyb

    Testování nesprávného zpracování chyb Testování trasování zásobníku

Testování slabé kryptografie

    Testování slabého zabezpečení transportní vrstvy Testování vyplnění Oracle Testování citlivých informací zasílaných nešifrovanými kanály Testování slabého šifrování

Business Logické testování

    Úvod do obchodní logiky Testování ověřování dat obchodní logiky Testování schopnosti falšovat požadavky Testování kontrol integrity Test načasování procesů Testování limitů, kolikrát lze funkci použít Testování na obcházení pracovních toků Testování obrany proti zneužití aplikací Testování nahrávání neočekávaných typů souborů Test nahrávání škodlivých souborů

Testování na straně klienta

    Testování skriptování napříč weby založené na DOM Testování provádění JavaScript Testování vkládání HTML Testování přesměrování URL na straně klienta Testování vkládání CSS Testování manipulace se zdroji na straně klienta Testování sdílení zdrojů mezi zdroji Testování flashování mezi weby Testování clickjackingu Testování WebSockets Testování webových zpráv Testování úložiště prohlížeče Testování zahrnutí skriptu mezi weby

API Testing

    Testování GraphQL

Hlášení

    Úvod Shrnutí Zjištění Přílohy

Požadavky

    Obecná znalost životního cyklu vývoje webu Zkušenosti s vývojem webových aplikací, zabezpečením a testováním.

Publikum

    Vývojáři Inženýři Architekti
  21 hodiny

Počet účastníků


Začátek

Konec


Dates are subject to availability and take place between 09:30 and 16:30.

Price per participant

Reference (1)

Související kurzy

CRISC - Certified in Risk and Information Systems Control

  21 hodiny

Standard Java Security

  14 hodiny

Java and Web Application Security

  21 hodiny

Advanced Java Security

  21 hodiny

Advanced Java, JEE and Web Application Security

  28 hodiny

.NET, C# and ASP.NET Security Development

  14 hodiny

Comprehensive C# and .NET Application Security

  21 hodiny

Advanced C#, ASP.NET and Web Application Security

  21 hodiny

Související kategorie