Thank you for sending your enquiry! One of our team members will contact you shortly.
Thank you for sending your booking! One of our team members will contact you shortly.
Návrh Školení
Úvod
Prozkoumání testovacího projektu OWASP
- Principy testování Testovací techniky Odvození požadavků na bezpečnostní testy Bezpečnostní testy integrované do vývojových a testovacích pracovních postupů Analýza dat z testů zabezpečení a reportování
Práce s testovacím rámcem OWASP
- Fáze 1: Před zahájením vývoje Fáze 2: Během definice a návrhu Fáze 3: Během vývoje Fáze 4: Během nasazení Fáze 5: Údržba a provoz Typický pracovní postup testování životního cyklu Metodologie penetračního testování
Testování zabezpečení webové aplikace
- Úvod a cíle Shromažďování informací Provádění zjišťování a průzkumu vyhledávačem pro případ úniku informací Webový server otisků prstů Kontrola metasouborů webového serveru kvůli úniku informací Výčet aplikací na webovém serveru Kontrola obsahu webové stránky kvůli úniku informací Identifikace vstupních bodů aplikace Mapování cest provádění prostřednictvím aplikace Fingerprint web aplikační rámec Fingerprint webová aplikace Mapa aplikační architektura Testování konfigurace a správy nasazení Testování konfigurace sítě/infrastruktury Testování konfigurace aplikační platformy Testování zacházení s příponami souborů pro citlivé informace Kontrola starých, zálohovaných a nereferencovaných souborů pro citlivé informace Výčet rozhraní pro správu infrastruktury a aplikací Testování metod HTTP Testování přísného zabezpečení přenosu HTTP Testování RIA zásady pro více domén Test oprávnění souboru Test převzetí subdomény Test cloudového úložiště
Identita Management Testování
- Definice testovacích rolí Testovací proces registrace uživatele Testovací proces zajišťování účtu Testování výčtu účtů a hádatelného uživatelského účtu Testování slabých nebo nevynucených zásad uživatelského jména
Testování autentizace
- Testování přihlašovacích údajů přenášených šifrovaným kanálem Testování výchozích přihlašovacích údajů Testování slabého mechanismu uzamčení Testování obcházení autentizačního schématu Testování zranitelného zapamatování hesla Testování slabosti mezipaměti prohlížeče Testování slabé zásady hesla Testování slabého zabezpečení otázka odpověď Testování slabé změny hesla nebo reset funkcí Testování slabší autentizace v alternativním kanálu
Autorizační testování
- Testování procházení adresáře/souboru včetně Testování obcházení autorizačního schématu Testování eskalace oprávnění Testování nezabezpečených přímých odkazů na objekty
Relace Management Testování
- Testování schématu správy relací Testování atributů souborů cookie Testování fixace relace Testování odhalených proměnných relace Testování padělání požadavků mezi weby Testování funkčnosti odhlášení Testování časového limitu relace Testování záhadných relací Testování zneužití relace
Testování ověření vstupu
- Testování odraženého skriptování mezi stránkami Testování uloženého skriptování mezi stránkami Testování neoprávněné manipulace se slovesy HTTP Testování znečištění parametrů HTTP Testování pro SQL injection Testování pro Oracle Testování pro MySQL Testování pro SQL server Testování pro PostgreSQL Testování pro MS Access Testování pro NoSQL injection Testování pro ORM vkládání Testování pro vkládání LDAP na straně klienta Testování vkládání XML Testování vkládání SSI Testování vkládání XPath Testování vkládání IMAP/SMTP Testování vkládání kódu Testování zahrnutí lokálního souboru Testování zahrnutí vzdáleného souboru Testování vkládání příkazů Testování pro vkládání formátovacího řetězce Testování inkubované zranitelnosti Testování dělení/pašování HTTP Testování příchozích požadavků HTTP Testování vkládání hlaviček hostitele Testování vkládání šablon na straně serveru Testování padělání požadavků na straně serveru
Testování na zpracování chyb
- Testování nesprávného zpracování chyb Testování trasování zásobníku
Testování slabé kryptografie
- Testování slabého zabezpečení transportní vrstvy Testování vyplnění Oracle Testování citlivých informací zasílaných nešifrovanými kanály Testování slabého šifrování
Business Logické testování
- Úvod do obchodní logiky Testování ověřování dat obchodní logiky Testování schopnosti falšovat požadavky Testování kontrol integrity Test načasování procesů Testování limitů, kolikrát lze funkci použít Testování na obcházení pracovních toků Testování obrany proti zneužití aplikací Testování nahrávání neočekávaných typů souborů Test nahrávání škodlivých souborů
Testování na straně klienta
- Testování skriptování napříč weby založené na DOM Testování provádění JavaScript Testování vkládání HTML Testování přesměrování URL na straně klienta Testování vkládání CSS Testování manipulace se zdroji na straně klienta Testování sdílení zdrojů mezi zdroji Testování flashování mezi weby Testování clickjackingu Testování WebSockets Testování webových zpráv Testování úložiště prohlížeče Testování zahrnutí skriptu mezi weby
API Testing
- Testování GraphQL
Hlášení
- Úvod Shrnutí Zjištění Přílohy
Požadavky
- Obecná znalost životního cyklu vývoje webu Zkušenosti s vývojem webových aplikací, zabezpečením a testováním.
Publikum
- Vývojáři Inženýři Architekti
21 hodiny
Reference (1)
Podívejte se na živou implementaci aktivit v reálném čase pomocí nástrojů pro zkoumání/cracking vzorových aplikací.
Paweł - Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy
Kurz - Web Security with the OWASP Testing Framework
Machine Translated