Thank you for sending your enquiry! One of our team member will contact you shortly.
Thank you for sending your booking! One of our team member will contact you shortly.
Programa do Curso
Introdução
Explorando o OWASP Projeto de Teste
- Princípios de teste
- Técnicas de teste
- Derivando requisitos de teste de segurança
- Testes de segurança integrados em fluxos de trabalho de desenvolvimento e teste
- Análise e relatórios de dados de teste de segurança
Trabalhando com a OWASP Estrutura de Teste
- Fase 1: Antes do início do desenvolvimento
- Fase 2: Durante a definição e design
- Fase 3: Durante o desenvolvimento
- Fase 4: Durante a implantação
- Fase 5: Manutenção e operações
- Um fluxo de trabalho típico de teste de ciclo de vida
- Metodologias de teste de penetração
Testando a segurança de aplicativos da Web
- Introdução e objetivos
- Coleta de informações
- Conduza a descoberta e o reconhecimento do mecanismo de pesquisa para vazamento de informações
- Servidor web de impressão digital
- Revise os metarquivos do servidor da web em busca de vazamento de informações
- Enumerar aplicativos no servidor web
- Revise o conteúdo da página da web em busca de vazamento de informações
- Identifique os pontos de entrada do aplicativo
- Mapeie caminhos de execução por meio do aplicativo
- Estrutura de aplicativo web de impressão digital
- Aplicativo web de impressão digital
- Mapear arquitetura do aplicativo
- Teste de gerenciamento de configuração e implantação
- Testar configuração de rede/infraestrutura
- Testar a configuração da plataforma do aplicativo
- Testar o tratamento de extensões de arquivo para informações confidenciais
- Revise arquivos antigos, de backup e não referenciados para obter informações confidenciais
- Enumerar interfaces de administração de infraestrutura e aplicativos
- Testar métodos HTTP
- Testar segurança de transporte estrita HTTP
- Testar política de domínio cruzado de RIA
- Permissão de arquivo de teste
- Teste para aquisição de subdomínio
- Teste o armazenamento em nuvem
Identity Management Teste
- Testar definições de função
- Teste o processo de registro do usuário
- Teste o processo de provisionamento de conta
- Teste de enumeração de conta e conta de usuário adivinhada
- Teste de política de nome de usuário fraca ou não aplicada
Teste de autenticação
- Testando credenciais transportadas por um canal criptografado
- Testando credenciais padrão
- Teste para mecanismo de bloqueio fraco
- Teste para ignorar o esquema de autenticação
- Teste para lembrar senha vulnerável
- Teste de fraqueza do cache do navegador
- Teste de política de senha fraca
- Testando respostas a perguntas de segurança fracas
- Teste de alteração de senha fraca ou funcionalidades de redefinição
- Testando autenticação mais fraca em canal alternativo
Teste de autorização
- Testando passagem de diretório/inclusão de arquivo
- Teste para ignorar o esquema de autorização
- Teste para escalonamento de privilégios
- Testando referências diretas a objetos inseguras
Sessão Management Teste
- Teste para esquema de gerenciamento de sessão
- Testando atributos de cookies
- Teste para fixação de sessão
- Testando variáveis de sessão expostas
- Teste para falsificação de solicitação entre sites
- Testando a funcionalidade de logout
- Tempo limite da sessão de teste
- Teste para sessão intrigante
- Teste para sequestro de sessão
Teste de validação de entrada
- Teste de script entre sites refletido
- Teste para scripts entre sites armazenados
- Teste de adulteração de verbo HTTP
- Teste de poluição de parâmetros HTTP
- Teste para injeção SQL
- Testando para Oracle
- Testando para MySQL
- Teste para servidor SQL
- Testando para PostgreSQL
- Teste para MS Access
- Teste para injeção NoSQL
- Teste para injeção de ORM
- Teste para o lado do cliente
- Teste para injeção LDAP
- Teste para injeção XML
- Teste para injeção SSI
- Teste para injeção XPath
- Teste para injeção IMAP/SMTP
- Teste para injeção de código
- Teste para inclusão de arquivo local
- Teste para inclusão remota de arquivos
- Teste para injeção de comando
- Teste para injeção de string de formato
- Teste de vulnerabilidade incubada
- Teste de divisão/contrabando de HTTP
- Teste de solicitações de entrada HTTP
- Teste para injeção de cabeçalho de host
- Teste para injeção de modelo no lado do servidor
- Teste de falsificação de solicitação do lado do servidor
Teste para tratamento de erros
- Teste para tratamento inadequado de erros
- Testando rastreamentos de pilha
Teste de criptografia fraca
- Teste de segurança fraca da camada de transporte
- Teste de preenchimento Oracle
- Teste de informações confidenciais enviadas por canais não criptografados
- Testando criptografia fraca
Business Teste lógico
- Introdução à lógica de negócios
- Testar validação de dados de lógica de negócios
- Testar a capacidade de falsificar solicitações
- Testar verificações de integridade
- Teste o tempo do processo
- Testar o número de vezes que uma função pode ser usada limites
- Testes para contornar fluxos de trabalho
- Teste as defesas contra o uso indevido de aplicativos
- Teste o upload de tipos de arquivos inesperados
- Teste o upload de arquivos maliciosos
Teste do lado do cliente
- Teste de script entre sites baseado em DOM
- Teste para Javaexecução de script
- Teste para injeção HTML
- Teste de redirecionamento de URL do lado do cliente
- Teste para injeção CSS
- Teste para manipulação de recursos do lado do cliente
- Testando o compartilhamento de recursos de origem cruzada
- Teste de flashing entre sites
- Teste de clickjacking
- Testando WebSockets
- Testando mensagens da web
- Testando o armazenamento do navegador
- Teste para inclusão de script entre sites
API Testing
- Teste GraphQL
Comunicando
- Introdução
- Sumário executivo
- Descobertas
- Apêndices
Requisitos
-
Conhecimento geral do ciclo de vida do desenvolvimento Web
Experiência em desenvolvimento, segurança e testes de aplicações Web.
Público
-
Promotores
Engenheiros
Arquitectos
21 horas
Declaração de Clientes (1)
Veja a implementação de atividades em tempo real usando amostras de ferramentas de investigação/cracking de aplicativos.
Paweł - Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy
Curso - Web Security with the OWASP Testing Framework
Machine Translated