Plan Szkolenia
Wprowadzenie
Odkrywanie projektu testowania OWASP
- Zasady testowania
- Techniki testowania
- Określanie wymagań dotyczących testów zabezpieczeń
- Testy zabezpieczeń zintegrowane z procesami programowania i testowania
- Analiza i raportowanie danych testów zabezpieczeń
Praca z platformą testową OWASP
- Faza 1: Przed rozpoczęciem rozwoju
- Faza 2: Podczas definiowania i projektowania
- Faza 3: Podczas opracowywania
- Faza 4: Podczas wdrażania
- Faza 5: Konserwacja i operacje
- Typowy przepływ pracy testowania w cyklu życia
- Metodologie testów penetracyjnych
Testowanie sieci Application Security
- Wprowadzenie i cele
- Gromadzenie informacji
- Przeprowadzenie wyszukiwania i rekonesansu pod kątem wycieku informacji
- Odcisk palca serwera WWW
- Przegląd metaplików serwera WWW pod kątem wycieku informacji
- Wyliczenie aplikacji na serwerze WWW
- Przeglądanie zawartości stron internetowych pod kątem wycieku informacji
- Identyfikacja punktów wejścia aplikacji
- Mapowanie ścieżek wykonania przez aplikację
- Odcisk palca struktury aplikacji internetowej
- Odcisk palca aplikacji internetowej
- Mapowanie architektury aplikacji
- Testowanie zarządzania konfiguracją i wdrażaniem
- Testowanie konfiguracji sieci/infrastruktury
- Testowanie konfiguracji platformy aplikacji
- Testowanie obsługi rozszerzeń plików pod kątem wrażliwych informacji
- Przegląd starych, zapasowych i nieodwołanych plików pod kątem wrażliwych informacji
- Wyliczenie interfejsów administratora infrastruktury i aplikacji
- Testowanie metod HTTP
- Testowanie ścisłych zabezpieczeń transportu HTTP
- Testowanie polityki między domenami RIA
- Test uprawnień do plików
- Test pod kątem przejęcia subdomeny
- Testowanie pamięci masowej w chmurze
Testowanie tożsamości Management
- Testowanie definicji ról
- Testowanie procesu rejestracji użytkownika
- Testowanie procesu udostępniania konta
- Testowanie wyliczania kont i możliwych do odgadnięcia kont użytkowników
- Testowanie słabych lub niewdrożonych zasad dotyczących nazw użytkowników
Testowanie uwierzytelniania
- Testowanie poświadczeń przesyłanych przez zaszyfrowany kanał
- Testowanie domyślnych poświadczeń
- Testowanie słabego mechanizmu blokowania
- Testowanie pod kątem obejścia schematu uwierzytelniania
- Testowanie pod kątem podatności na zapamiętanie hasła
- Testowanie pod kątem słabości pamięci podręcznej przeglądarki
- Testowanie słabej polityki haseł
- Testowanie słabych odpowiedzi na pytania bezpieczeństwa
- Testowanie słabych funkcji zmiany lub resetowania hasła
- Testowanie słabego uwierzytelniania w kanale alternatywnym
Testowanie autoryzacji
- Testowanie przechodzenia przez katalogi/pliki
- Testowanie pod kątem obejścia schematu autoryzacji
- Testowanie pod kątem eskalacji uprawnień
- Testowanie niezabezpieczonych bezpośrednich odwołań do obiektów
Testowanie sesji Management
- Testowanie schematu zarządzania sesją
- Testowanie atrybutów plików cookie
- Testowanie utrwalania sesji
- Testowanie pod kątem ujawnionych zmiennych sesji
- Testowanie pod kątem fałszowania żądań między witrynami
- Testowanie funkcjonalności wylogowania
- Testowanie limitu czasu sesji
- Testowanie pod kątem zagadek sesji
- Testowanie pod kątem przejęcia sesji
Testowanie poprawności danych wejściowych
- Testowanie pod kątem odbitych skryptów cross-site
- Testowanie pod kątem przechowywanych skryptów cross-site
- Testowanie pod kątem manipulowania czasownikami HTTP
- Testowanie pod kątem zanieczyszczania parametrów HTTP
- Testowanie wstrzykiwania SQL
- Testowanie pod kątem Oracle
- Testowanie dla MySQL
- Testowanie serwera SQL
- Testowanie dla PostgreSQL
- Testowanie dla MS Access
- Testowanie wstrzykiwania NoSQL
- Testowanie wstrzykiwania ORM
- Testowanie po stronie klienta
- Testowanie wstrzykiwania LDAP
- Testowanie wstrzykiwania XML
- Testowanie wstrzykiwania SSI
- Testowanie wstrzykiwania XPath
- Testowanie wstrzykiwania IMAP/SMTP
- Testowanie wstrzykiwania kodu
- Testowanie pod kątem dołączania plików lokalnych
- Testowanie zdalnego dołączania plików
- Testowanie wstrzykiwania poleceń
- Testowanie pod kątem wstrzyknięcia ciągu formatu
- Testowanie pod kątem luki w zabezpieczeniach
- Testowanie pod kątem dzielenia/smuglowania HTTP
- Testowanie przychodzących żądań HTTP
- Testowanie pod kątem wstrzyknięcia nagłówka hosta
- Testowanie pod kątem wstrzyknięcia szablonu po stronie serwera
- Testowanie pod kątem fałszowania żądań po stronie serwera
Testowanie obsługi błędów
- Testowanie pod kątem niewłaściwej obsługi błędów
- Testowanie śladów stosu
Testowanie pod kątem słabej Cryptografiki
- Testowanie słabych zabezpieczeń warstwy transportowej
- Testowanie pod kątem wypełniania Oracle
- Testowanie wrażliwych informacji przesyłanych niezaszyfrowanymi kanałami
- Testowanie pod kątem słabego szyfrowania
Testowanie logiki Business
- Wprowadzenie do logiki biznesowej
- Testowanie walidacji danych logiki biznesowej
- Testowanie możliwości fałszowania żądań
- Testowanie kontroli integralności
- Testowanie synchronizacji procesów
- Testowanie limitów liczby użyć danej funkcji
- Testowanie pod kątem obchodzenia przepływów pracy
- Testowanie zabezpieczeń przed niewłaściwym użyciem aplikacji
- Testowanie przesyłania nieoczekiwanych typów plików
- Testowanie przesyłania złośliwych plików
Testowanie po stronie klienta
- Testowanie pod kątem skryptów cross-site opartych na DOM
- Testowanie pod kątem wykonania JavaScript
- Testowanie pod kątem wstrzyknięcia HTML
- Testowanie przekierowania URL po stronie klienta
- Testowanie pod kątem wstrzyknięcia CSS
- Testowanie manipulacji zasobami po stronie klienta
- Testowanie współdzielenia zasobów między źródłami
- Testowanie migania między witrynami
- Testowanie pod kątem clickjackingu
- Testowanie WebSockets
- Testowanie wiadomości internetowych
- Testowanie pamięci masowej przeglądarki
- Testowanie włączania skryptów między witrynami
API Testing
- Testowanie GraphQL
Raportowanie
- Wprowadzenie
- Streszczenie
- Ustalenia
- Załączniki
Wymagania
- A general understanding of web development lifecycle
- Experience in web application development, security, and testing.
Audience
- Developers
- Engineers
- Architects
Opinie uczestników (7)
Zobaczenie na żywo faktycznej realizacji działań z użyciem przykładowych narzędzi do badania/łamania zabezpieczeń aplikacji.
Pawel - Osrodek Przetwarzania Informacji - Panstwowy Instytut Badawczy
Kompleksowe podejście do tematu w połączeniu z praktycznymi przykładami, a wszystko to w połączeniu z energią trenera i jego ogromnym doświadczeniem.
Ihor - Osrodek Przetwarzania Informacji - Panstwowy Instytut Badawczy
Szkolenie - Web Security with the OWASP Testing Framework
Przetłumaczone przez sztuczną inteligencję
Uważam, że cały kurs OWASP był pouczający i dobrze zorganizowany. Gdybym miał wybrać jeden aspekt, który najbardziej się wyróżniał, powiedziałbym, że było to omówienie luk w zabezpieczeniach sieci i pokazane praktyczne przykłady. Kurs pomógł mi zrozumieć, jak stosować koncepcje owasp w różnych scenariuszach przy użyciu różnych narzędzi
Piotr - Osrodek Przetwarzania Informacji - Panstwowy Instytut Badawczy
Szkolenie - Web Security with the OWASP Testing Framework
Przetłumaczone przez sztuczną inteligencję
* wspaniałe demo na żywo * dobry tempomat * buena wprowadzenie do testowania bezpieczeństwa
Robert McClure - EUROPOL
Szkolenie - Web Security with the OWASP Testing Framework
Przetłumaczone przez sztuczną inteligencję
zawartość i wiedza trenera
Bogdan Birou - EUROPOL
Szkolenie - Web Security with the OWASP Testing Framework
Przetłumaczone przez sztuczną inteligencję
Wielkie i trafne przykłady, dobry tempo, dobre ćwiczenia. Wyсiegомnie polecamy! (Note: There seems to be a typo in the original text "Wyсiegомnie" which doesn't make sense in Polish. I assume it should be "Wyraźnie". Here is the corrected version: Wielkie i trafne przykłady, dobre tempo, dobre ćwiczenia. Wyraźnie polecamy!) However, following the guideline of not modifying content unless necessary for translation accuracy, and since there was no explicit instruction to correct potential errors in the source text, I'll stick to a direct translation: Wielkie i trafne przykłady, dobre tempo, dobre ćwiczenia. Wyсiegомnie polecamy!)
Istvan Visegradi - EUROPOL
Szkolenie - Web Security with the OWASP Testing Framework
Przetłumaczone przez sztuczną inteligencję
Bardzo kwalifikowana i sympatyczna trenerka. Intrigujące tematy i przykłady z życia codziennego.
Jon Lunde - Buypass AS
Szkolenie - Web Security with the OWASP Testing Framework
Przetłumaczone przez sztuczną inteligencję