Kursplan

Introduksjon

Utforsker OWASP testprosjektet

    Prinsipper for testing Testteknikker Utlede sikkerhetstestkrav Sikkerhetstester integrert i utviklings- og testarbeidsflyter Sikkerhetstestdataanalyse og rapportering

Arbeide med OWASP Testing Framework

    Fase 1: Før utviklingen starter Fase 2: Under definisjon og design Fase 3: Under utvikling Fase 4: Under distribusjon Fase 5: Vedlikehold og drift En typisk arbeidsflyt for livssyklustesting Penetrasjonstestmetoder

Testing av nettapplikasjonssikkerhet

    Introduksjon og mål Informasjonsinnhenting Gjennomføre søkemotoroppdagelse og rekognosering for informasjonslekkasje Fingeravtrykk webserver Gjennomgå webservermetafiler for informasjonslekkasje Oppregne applikasjoner på webserver Gjennomgå nettsideinnhold for informasjonslekkasje Identifisere applikasjonsinngangspunkter Kartlegge kjørebaner gjennom applikasjonen Fingeravtrykk nettapplikasjonsramme Fingeravtrykk webapplikasjon Kart applikasjonsarkitektur Konfigurasjons- og distribusjonsadministrasjonstesting Test nettverks-/infrastrukturkonfigurasjon Test applikasjonsplattformkonfigurasjon Test filutvidelser håndtering for sensitiv informasjon Gjennomgå gamle, sikkerhetskopierte og ikke-refererte filer for sensitiv informasjon Oppregne infrastruktur og applikasjonsadministrasjonsgrensesnitt Test HTTP-metoder Test HTTP streng transportsikkerhet Test RIA policy på tvers av domene Testfiltillatelse Test for overtakelse av underdomene Test skylagring

Identitet Management Testing

    Testrolledefinisjoner Test brukerregistreringsprosess Testkontoklargjøringsprosess Testing for kontooppregning og gjettelig brukerkonto Testing for svak eller uhåndhevet brukernavnpolicy

Autentiseringstesting

    Testing for legitimasjon transportert over en kryptert kanal Testing for standard legitimasjon Testing for svak låsemekanisme Testing for omgåelse av autentiseringsskjema Testing for sårbare husk passord Testing for svakhet i nettleserbufferen Testing for svak passordpolicy Testing for svakt sikkerhetsspørsmål svar Testing for svak passordendring eller tilbakestille funksjoner Testing for svakere autentisering i alternativ kanal

Autorisasjonstesting

    Testing av kataloggjennomgang/fil inkluderer testing for å omgå autorisasjonsskjema Testing for rettighetseskalering Testing for usikre direkte objektreferanser

Økt Management Testing

    Testing for sesjonsadministrasjonsskjema Testing for informasjonskapslerattributter Testing for øktfiksering Testing for eksponerte øktvariabler Testing for forfalskning av forespørsler på tvers av nettsteder Testing for utloggingsfunksjonalitet Testing av øktens tidsavbrudd Testing for sesjonsforvirring Testing for øktkapring

Inndatavalideringstesting

    Testing for reflektert skripting på tvers av nettsteder Testing for lagret skripting på tvers av nettsteder Testing for manipulering av HTTP-verb Testing for HTTP-parameterforurensning Testing for SQL-injeksjon Testing for Oracle-testing for MySQL-testing for SQL-server Testing for PostgreSQL-testing for MS Access-testing for NoSQL-injeksjon Testing for ORM injeksjonstesting for klientsidetesting for LDAP-injeksjon Testing for XML-injeksjon Testing for SSI-injeksjon Testing for XPath injeksjon Testing for IMAP/SMTP-injeksjon Testing for kodeinjeksjon Testing for lokal filinkludering Testing for ekstern filinkludering Testing for kommandoinjeksjon Testing for formatstrenginjeksjon Testing for inkubert sårbarhet Testing for HTTP-spalting/smugling Testing for HTTP-innkommende forespørsler Testing for injeksjon av vertshoder Testing for injeksjon av maler på serversiden Testing for forfalskning av forespørsler på serversiden

Testing for feilhåndtering

    Testing for feilaktig feilhåndtering Testing for stabelspor

Testing for svak kryptografi

    Testing for svakt transportlagssikkerhet Testing for polstring Oracle Testing for sensitiv informasjon sendt via ukrypterte kanaler Testing for svak kryptering

Business Logikktesting

    Introduksjon til forretningslogikk Test forretningslogikk datavalidering Test evne til å forfalske forespørsler Test integritetskontroller Test for prosesstiming Test antall ganger en funksjon kan brukes grenser Testing for omgåelse av arbeidsflyter Test forsvar mot applikasjonsmisbruk Testopplasting av uventede filtyper Test opplasting av skadelige filer

Testing på klientsiden

    Testing for DOM-basert skripting på tvers av nettsteder Testing for utførelse av JavaScript Testing for HTML-injeksjon Testing for URL-omdirigering på klientsiden Testing for CSS-injeksjon Testing for ressursmanipulasjon på klientsiden Testing av ressursdeling på tvers av opprinnelser Testing for blinking på tvers av nettsteder Testing for clickjacking WebSockets Testing av nettmeldinger Testing av nettleserlagring Testing for inkludering av skript på tvers av nettsteder

API Testing

    Testing GraphQL

Rapportering

    Innledning Sammendrag Funn Vedlegg

Krav

    En generell forståelse av livssyklusen for webutvikling Erfaring med utvikling, sikkerhet og testing av webapplikasjoner.

Publikum

    Utviklere Ingeniører Arkitekter
  21 timer

Antall deltakere



Price per participant

Testimonials (1)

Relaterte kurs

CRISC - Certified in Risk and Information Systems Control

  21 timer

Standard Java Security

  14 timer

Java and Web Application Security

  21 timer

Advanced Java Security

  21 timer

Advanced Java, JEE and Web Application Security

  28 timer

.NET, C# and ASP.NET Security Development

  14 timer

Comprehensive C# and .NET Application Security

  21 timer

Advanced C#, ASP.NET and Web Application Security

  21 timer

Related Categories