Programa do Curso

Introdução

Explorando o OWASP Projeto de Teste

  • Princípios de teste
  • Técnicas de teste
  • Derivando requisitos de teste de segurança
  • Testes de segurança integrados em fluxos de trabalho de desenvolvimento e teste
  • Análise e relatórios de dados de teste de segurança

Trabalhando com a OWASP Estrutura de Teste

  • Fase 1: Antes do início do desenvolvimento
  • Fase 2: Durante a definição e design
  • Fase 3: Durante o desenvolvimento
  • Fase 4: Durante a implantação
  • Fase 5: Manutenção e operações
  • Um fluxo de trabalho típico de teste de ciclo de vida
  • Metodologias de teste de penetração

Testando a segurança de aplicativos da Web

  • Introdução e objetivos
  • Coleta de informações
  • Conduza a descoberta e o reconhecimento do mecanismo de pesquisa para vazamento de informações
  • Servidor web de impressão digital
  • Revise os metarquivos do servidor da web em busca de vazamento de informações
  • Enumerar aplicativos no servidor web
  • Revise o conteúdo da página da web em busca de vazamento de informações
  • Identifique os pontos de entrada do aplicativo
  • Mapeie caminhos de execução por meio do aplicativo
  • Estrutura de aplicativo web de impressão digital
  • Aplicativo web de impressão digital
  • Mapear arquitetura do aplicativo
  • Teste de gerenciamento de configuração e implantação
  • Testar configuração de rede/infraestrutura
  • Testar a configuração da plataforma do aplicativo
  • Testar o tratamento de extensões de arquivo para informações confidenciais
  • Revise arquivos antigos, de backup e não referenciados para obter informações confidenciais
  • Enumerar interfaces de administração de infraestrutura e aplicativos
  • Testar métodos HTTP
  • Testar segurança de transporte estrita HTTP
  • Testar política de domínio cruzado de RIA
  • Permissão de arquivo de teste
  • Teste para aquisição de subdomínio
  • Teste o armazenamento em nuvem

Identity Management Teste

  • Testar definições de função
  • Teste o processo de registro do usuário
  • Teste o processo de provisionamento de conta
  • Teste de enumeração de conta e conta de usuário adivinhada
  • Teste de política de nome de usuário fraca ou não aplicada

Teste de autenticação

  • Testando credenciais transportadas por um canal criptografado
  • Testando credenciais padrão
  • Teste para mecanismo de bloqueio fraco
  • Teste para ignorar o esquema de autenticação
  • Teste para lembrar senha vulnerável
  • Teste de fraqueza do cache do navegador
  • Teste de política de senha fraca
  • Testando respostas a perguntas de segurança fracas
  • Teste de alteração de senha fraca ou funcionalidades de redefinição
  • Testando autenticação mais fraca em canal alternativo

Teste de autorização

  • Testando passagem de diretório/inclusão de arquivo
  • Teste para ignorar o esquema de autorização
  • Teste para escalonamento de privilégios
  • Testando referências diretas a objetos inseguras

Sessão Management Teste

  • Teste para esquema de gerenciamento de sessão
  • Testando atributos de cookies
  • Teste para fixação de sessão
  • Testando variáveis de sessão expostas
  • Teste para falsificação de solicitação entre sites
  • Testando a funcionalidade de logout
  • Tempo limite da sessão de teste
  • Teste para sessão intrigante
  • Teste para sequestro de sessão

Teste de validação de entrada

  • Teste de script entre sites refletido
  • Teste para scripts entre sites armazenados
  • Teste de adulteração de verbo HTTP
  • Teste de poluição de parâmetros HTTP
  • Teste para injeção SQL
  • Testando para Oracle
  • Testando para MySQL
  • Teste para servidor SQL
  • Testando para PostgreSQL
  • Teste para MS Access
  • Teste para injeção NoSQL
  • Teste para injeção de ORM
  • Teste para o lado do cliente
  • Teste para injeção LDAP
  • Teste para injeção XML
  • Teste para injeção SSI
  • Teste para injeção XPath
  • Teste para injeção IMAP/SMTP
  • Teste para injeção de código
  • Teste para inclusão de arquivo local
  • Teste para inclusão remota de arquivos
  • Teste para injeção de comando
  • Teste para injeção de string de formato
  • Teste de vulnerabilidade incubada
  • Teste de divisão/contrabando de HTTP
  • Teste de solicitações de entrada HTTP
  • Teste para injeção de cabeçalho de host
  • Teste para injeção de modelo no lado do servidor
  • Teste de falsificação de solicitação do lado do servidor

Teste para tratamento de erros

  • Teste para tratamento inadequado de erros
  • Testando rastreamentos de pilha

Teste de criptografia fraca

  • Teste de segurança fraca da camada de transporte
  • Teste de preenchimento Oracle
  • Teste de informações confidenciais enviadas por canais não criptografados
  • Testando criptografia fraca

Business Teste lógico

  • Introdução à lógica de negócios
  • Testar validação de dados de lógica de negócios
  • Testar a capacidade de falsificar solicitações
  • Testar verificações de integridade
  • Teste o tempo do processo
  • Testar o número de vezes que uma função pode ser usada limites
  • Testes para contornar fluxos de trabalho
  • Teste as defesas contra o uso indevido de aplicativos
  • Teste o upload de tipos de arquivos inesperados
  • Teste o upload de arquivos maliciosos

Teste do lado do cliente

  • Teste de script entre sites baseado em DOM
  • Teste para Javaexecução de script
  • Teste para injeção HTML
  • Teste de redirecionamento de URL do lado do cliente
  • Teste para injeção CSS
  • Teste para manipulação de recursos do lado do cliente
  • Testando o compartilhamento de recursos de origem cruzada
  • Teste de flashing entre sites
  • Teste de clickjacking
  • Testando WebSockets
  • Testando mensagens da web
  • Testando o armazenamento do navegador
  • Teste para inclusão de script entre sites

API Testing

  • Teste GraphQL

Comunicando

  • Introdução
  • Sumário executivo
  • Descobertas
  • Apêndices

Requisitos

    Conhecimento geral do ciclo de vida do desenvolvimento Web Experiência em desenvolvimento, segurança e testes de aplicações Web.

Público

    Promotores Engenheiros Arquitectos
  21 horas
 

Declaração de Clientes (1)

Cursos Relacionados

CRISC - Certified in Risk and Information Systems Control

  21 horas

Microsoft SDL Core

  14 horas

Standard Java Security

  14 horas

Java and Web Application Security

  21 horas

Advanced Java Security

  21 horas

Advanced Java, JEE and Web Application Security

  28 horas

.NET, C# and ASP.NET Security Development

  14 horas

Categorias Relacionadas