Plan Szkolenia

Wprowadzenie

Odkrywanie projektu testowania OWASP

  • Zasady testowania
  • Techniki testowania
  • Określanie wymagań dotyczących testów zabezpieczeń
  • Testy zabezpieczeń zintegrowane z procesami programowania i testowania
  • Analiza i raportowanie danych testów zabezpieczeń

Praca z platformą testową OWASP

  • Faza 1: Przed rozpoczęciem rozwoju
  • Faza 2: Podczas definiowania i projektowania
  • Faza 3: Podczas opracowywania
  • Faza 4: Podczas wdrażania
  • Faza 5: Konserwacja i operacje
  • Typowy przepływ pracy testowania w cyklu życia
  • Metodologie testów penetracyjnych

Testowanie sieci Application Security

  • Wprowadzenie i cele
  • Gromadzenie informacji
  • Przeprowadzenie wyszukiwania i rekonesansu pod kątem wycieku informacji
  • Odcisk palca serwera WWW
  • Przegląd metaplików serwera WWW pod kątem wycieku informacji
  • Wyliczenie aplikacji na serwerze WWW
  • Przeglądanie zawartości stron internetowych pod kątem wycieku informacji
  • Identyfikacja punktów wejścia aplikacji
  • Mapowanie ścieżek wykonania przez aplikację
  • Odcisk palca struktury aplikacji internetowej
  • Odcisk palca aplikacji internetowej
  • Mapowanie architektury aplikacji
  • Testowanie zarządzania konfiguracją i wdrażaniem
  • Testowanie konfiguracji sieci/infrastruktury
  • Testowanie konfiguracji platformy aplikacji
  • Testowanie obsługi rozszerzeń plików pod kątem wrażliwych informacji
  • Przegląd starych, zapasowych i nieodwołanych plików pod kątem wrażliwych informacji
  • Wyliczenie interfejsów administratora infrastruktury i aplikacji
  • Testowanie metod HTTP
  • Testowanie ścisłych zabezpieczeń transportu HTTP
  • Testowanie polityki między domenami RIA
  • Test uprawnień do plików
  • Test pod kątem przejęcia subdomeny
  • Testowanie pamięci masowej w chmurze

Testowanie tożsamości Management

  • Testowanie definicji ról
  • Testowanie procesu rejestracji użytkownika
  • Testowanie procesu udostępniania konta
  • Testowanie wyliczania kont i możliwych do odgadnięcia kont użytkowników
  • Testowanie słabych lub niewdrożonych zasad dotyczących nazw użytkowników

Testowanie uwierzytelniania

  • Testowanie poświadczeń przesyłanych przez zaszyfrowany kanał
  • Testowanie domyślnych poświadczeń
  • Testowanie słabego mechanizmu blokowania
  • Testowanie pod kątem obejścia schematu uwierzytelniania
  • Testowanie pod kątem podatności na zapamiętanie hasła
  • Testowanie pod kątem słabości pamięci podręcznej przeglądarki
  • Testowanie słabej polityki haseł
  • Testowanie słabych odpowiedzi na pytania bezpieczeństwa
  • Testowanie słabych funkcji zmiany lub resetowania hasła
  • Testowanie słabego uwierzytelniania w kanale alternatywnym

Testowanie autoryzacji

  • Testowanie przechodzenia przez katalogi/pliki
  • Testowanie pod kątem obejścia schematu autoryzacji
  • Testowanie pod kątem eskalacji uprawnień
  • Testowanie niezabezpieczonych bezpośrednich odwołań do obiektów

Testowanie sesji Management

  • Testowanie schematu zarządzania sesją
  • Testowanie atrybutów plików cookie
  • Testowanie utrwalania sesji
  • Testowanie pod kątem ujawnionych zmiennych sesji
  • Testowanie pod kątem fałszowania żądań między witrynami
  • Testowanie funkcjonalności wylogowania
  • Testowanie limitu czasu sesji
  • Testowanie pod kątem zagadek sesji
  • Testowanie pod kątem przejęcia sesji

Testowanie poprawności danych wejściowych

  • Testowanie pod kątem odbitych skryptów cross-site
  • Testowanie pod kątem przechowywanych skryptów cross-site
  • Testowanie pod kątem manipulowania czasownikami HTTP
  • Testowanie pod kątem zanieczyszczania parametrów HTTP
  • Testowanie wstrzykiwania SQL
  • Testowanie pod kątem Oracle
  • Testowanie dla MySQL
  • Testowanie serwera SQL
  • Testowanie dla PostgreSQL
  • Testowanie dla MS Access
  • Testowanie wstrzykiwania NoSQL
  • Testowanie wstrzykiwania ORM
  • Testowanie po stronie klienta
  • Testowanie wstrzykiwania LDAP
  • Testowanie wstrzykiwania XML
  • Testowanie wstrzykiwania SSI
  • Testowanie wstrzykiwania XPath
  • Testowanie wstrzykiwania IMAP/SMTP
  • Testowanie wstrzykiwania kodu
  • Testowanie pod kątem dołączania plików lokalnych
  • Testowanie zdalnego dołączania plików
  • Testowanie wstrzykiwania poleceń
  • Testowanie pod kątem wstrzyknięcia ciągu formatu
  • Testowanie pod kątem luki w zabezpieczeniach
  • Testowanie pod kątem dzielenia/smuglowania HTTP
  • Testowanie przychodzących żądań HTTP
  • Testowanie pod kątem wstrzyknięcia nagłówka hosta
  • Testowanie pod kątem wstrzyknięcia szablonu po stronie serwera
  • Testowanie pod kątem fałszowania żądań po stronie serwera

Testowanie obsługi błędów

  • Testowanie pod kątem niewłaściwej obsługi błędów
  • Testowanie śladów stosu

Testowanie pod kątem słabej Cryptografiki

  • Testowanie słabych zabezpieczeń warstwy transportowej
  • Testowanie pod kątem wypełniania Oracle
  • Testowanie wrażliwych informacji przesyłanych niezaszyfrowanymi kanałami
  • Testowanie pod kątem słabego szyfrowania

Testowanie logiki Business

  • Wprowadzenie do logiki biznesowej
  • Testowanie walidacji danych logiki biznesowej
  • Testowanie możliwości fałszowania żądań
  • Testowanie kontroli integralności
  • Testowanie synchronizacji procesów
  • Testowanie limitów liczby użyć danej funkcji
  • Testowanie pod kątem obchodzenia przepływów pracy
  • Testowanie zabezpieczeń przed niewłaściwym użyciem aplikacji
  • Testowanie przesyłania nieoczekiwanych typów plików
  • Testowanie przesyłania złośliwych plików

Testowanie po stronie klienta

  • Testowanie pod kątem skryptów cross-site opartych na DOM
  • Testowanie pod kątem wykonania JavaScript
  • Testowanie pod kątem wstrzyknięcia HTML
  • Testowanie przekierowania URL po stronie klienta
  • Testowanie pod kątem wstrzyknięcia CSS
  • Testowanie manipulacji zasobami po stronie klienta
  • Testowanie współdzielenia zasobów między źródłami
  • Testowanie migania między witrynami
  • Testowanie pod kątem clickjackingu
  • Testowanie WebSockets
  • Testowanie wiadomości internetowych
  • Testowanie pamięci masowej przeglądarki
  • Testowanie włączania skryptów między witrynami

API Testing

  • Testowanie GraphQL

Raportowanie

  • Wprowadzenie
  • Streszczenie
  • Ustalenia
  • Załączniki

Wymagania

  • A general understanding of web development lifecycle
  • Experience in web application development, security, and testing.

Audience

  • Developers
  • Engineers
  • Architects
 21 godzin

Liczba uczestników


cena netto za uczestnika

Opinie uczestników (7)

Propozycje terminów

Powiązane Kategorie