Kursplan

Införandet

Utforska OWASP Testing Project

  • Principer för testning
  • Tekniker för testning
  • Härleda krav på säkerhetstest
  • Säkerhetstester integrerade i arbetsflöden för utveckling och testning
  • Analys och rapportering av säkerhetstestdata

Arbeta med OWASP Testing Framework

  • Fas 1: Innan utvecklingen påbörjas
  • Fas 2: Under definition och design
  • Fas 3: Under utvecklingen
  • Fas 4: Under distributionen
  • Fas 5: Underhåll och drift
  • Ett typiskt arbetsflöde för livscykeltestning
  • Metoder för penetrationstestning

Testa webbapplikationens säkerhet

  • Inledning och mål
  • Insamling av information
  • Genomföra sökmotorupptäckt och rekognoscering för informationsläckage
  • Webbserver med fingeravtryck
  • Granska webbserverns metafiler för informationsläckage
  • Räkna upp program på webbservern
  • Granska webbsidans innehåll för informationsläckage
  • Identifiera startpunkter för program
  • Mappa körningssökvägar via program
  • Ramverk för webbprogram med fingeravtryck
  • Webbapplikation med fingeravtryck
  • Mappa programarkitektur
  • Testning av konfigurations- och distributionshantering
  • Testa konfiguration av nätverk/infrastruktur
  • Testa konfigurationen av programplattformen
  • Testa hantering av filnamnstillägg för känslig information
  • Granska gamla, säkerhetskopierade och orefererade filer för känslig information
  • Räkna upp infrastruktur- och programadministratörsgränssnitt
  • Testa HTTP-metoder
  • Testa strikt HTTP-transportsäkerhet
  • Testa RIA-policy för flera domäner
  • Behörighet för testfil
  • Test för övertagande av underdomäner
  • Testa molnlagring

Identity Management Testning

  • Testa rolldefinitioner
  • Testa registreringsprocessen för användare
  • Testa etableringsprocessen för kontot
  • Testa för kontouppräkning och gissningsbart användarkonto
  • Testa för svag eller icke framtvingad användarnamnsprincip

Testning av autentisering

  • Testa autentiseringsuppgifter som transporteras via en krypterad kanal
  • Testa standardautentiseringsuppgifter
  • Testning av svag spärrmekanism
  • Testa för att kringgå autentiseringsschemat
  • Testning av sårbara lösenord för att komma ihåg
  • Testning av svagheter i webbläsarens cache
  • Testa för svag lösenordsprincip
  • Testa för svagt svar på säkerhetsfrågor
  • Testning av svaga funktioner för lösenordsändring eller återställning
  • Testning av svagare autentisering i alternativ kanal

Testning av auktorisering

  • Testning av katalogbläddring/fil inkluderar
  • Testa för att kringgå auktoriseringsschemat
  • Testa för utökning av privilegier
  • Testa osäkra direkta objektreferenser

Session Management Testning

  • Testa för schema för sessionshantering
  • Testa för cookie-attribut
  • Testa för sessionsfixering
  • Testa för exponerade sessionsvariabler
  • Testning av förfalskning av förfrågningar mellan webbplatser
  • Testa utloggningsfunktionen
  • Tidsgräns för testsession
  • Testa sessionsförbryllande
  • Testa för sessionskapning

Testning av validering av indata

  • Testning av reflekterade skript över flera webbplatser
  • Testning av lagrade skript över flera webbplatser
  • Testa för manipulering av HTTP-verb
  • Testning av förorening av HTTP-parametrar
  • Testning för SQL injektion
  • Testning för Oracle
  • Testning för MySQL
  • Testning för SQL-server
  • Testning för PostgreSQL
  • Testning för MS Access
  • Testning för NoSQL injektion
  • Testning för ORM-injektion
  • Testning för klientsidan
  • Testning för LDAP injektion
  • Testning för XML injektion
  • Testning för SSI-injektion
  • Testning för XPath injektion
  • Testning för IMAP/SMTP-injektion
  • Testa för kodinmatning
  • Testa för inkludering av lokala filer
  • Testa för inkludering av fjärrfiler
  • Testa för kommandoinmatning
  • Testa för formatsträngsinmatning
  • Testning av inkuberad sårbarhet
  • Testning för HTTP-delning/-smuggling
  • Testa för inkommande HTTP-begäranden
  • Testa för inmatning av värdhuvud
  • Testa för mallinmatning på serversidan
  • Testning av förfalskning av begäran på serversidan

Testning av felhantering

  • Testning av felaktig felhantering
  • Testa stackspårningar

Testning av svag kryptografi

  • Testning av svag säkerhet i transportlagret
  • Testning av utfyllnad Oracle
  • Testning av känslig information som skickas via okrypterade kanaler
  • Testning av svag kryptering

Business Logisk testning

  • Introduktion till affärslogik
  • Testa validering av affärslogikdata
  • Testa möjligheten att förfalska begäranden
  • Kontroller av testintegritet
  • Testa för processtiming
  • Testa antal gånger en funktion kan användas gränser
  • Testning av kringgående av arbetsflöden
  • Testa skydd mot missbruk av program
  • Testa uppladdning av oväntade filtyper
  • Testa uppladdning av skadliga filer

Testning på klientsidan

  • Testning av DOM-baserad skriptkörning över flera webbplatser
  • Testa för JavaSkriptkörning
  • Testning för HTML injektion
  • Testa för URL-omdirigering på klientsidan
  • Testning för CSS injektion
  • Testa för resursmanipulering på klientsidan
  • Testa resursdelning mellan ursprung
  • Testning av blinkning över flera platser
  • Testning för klickkapning
  • Testa WebSockets
  • Testa webbmeddelanden
  • Testa webbläsarens lagring
  • Testning för inkludering av skript över flera webbplatser

API Testing

  • Testning GraphQL

Rapportering

  • Införandet
  • Sammanfattning
  • Rön
  • Bilagor

Krav

    En allmän förståelse för webbutvecklingens livscykel Erfarenhet av webbapplikationsutveckling, säkerhet och testning.

Publik

    Utvecklare Ingenjörer Arkitekter
  21 timmar
 

Antal deltagare


Starts

Ends


Dates are subject to availability and take place between 09:30 and 16:30.
Open Training Courses require 5+ participants.

Vittnesmål (1)

Relaterade Kurser

CRISC - Certified in Risk and Information Systems Control

  21 timmar

Standard Java Security

  14 timmar

Java and Web Application Security

  21 timmar

Advanced Java Security

  21 timmar

Advanced Java, JEE and Web Application Security

  28 timmar

.NET, C# and ASP.NET Security Development

  14 timmar

Comprehensive C# and .NET Application Security

  21 timmar

Advanced C#, ASP.NET and Web Application Security

  21 timmar

Relaterade Kategorier