Struttura del corso

Introduzione

Esplorazione del OWASP progetto di test

  • Principi di prova
  • Tecniche di prova
  • Derivazione dei requisiti dei test di sicurezza
  • Test di sicurezza integrati nei flussi di lavoro di sviluppo e test
  • Analisi e reportistica dei dati dei test di sicurezza

Utilizzo del OWASP Testing Framework

  • Fase 1: Prima dell'inizio dello sviluppo
  • Fase 2: Durante la definizione e la progettazione
  • Fase 3: Durante lo sviluppo
  • Fase 4: durante la distribuzione
  • Fase 5: Manutenzione e funzionamento
  • Un tipico flusso di lavoro di test del ciclo di vita
  • Metodologie di penetration test

Test della sicurezza delle applicazioni Web

  • Introduzione e obiettivi
  • Raccolta di informazioni
  • Condurre l'individuazione e la ricognizione dei motori di ricerca per la perdita di informazioni
  • Server web di impronte digitali
  • Esamina i metafile del server Web per rilevare eventuali perdite di informazioni
  • Enumerare le applicazioni sul server Web
  • Esamina il contenuto della pagina Web per rilevare eventuali fughe di informazioni
  • Identificare i punti di ingresso dell'applicazione
  • Mappare i percorsi di esecuzione tramite l'applicazione
  • Framework dell'applicazione Web delle impronte digitali
  • Applicazione web per impronte digitali
  • Mappare l'architettura dell'applicazione
  • Test di gestione della configurazione e della distribuzione
  • Testare la configurazione della rete/infrastruttura
  • Testare la configurazione della piattaforma applicativa
  • Testare la gestione delle estensioni dei file per le informazioni riservate
  • Esaminare i file obsoleti, di backup e senza riferimenti per le informazioni riservate
  • Enumerare le interfacce di amministrazione dell'infrastruttura e delle applicazioni
  • Testare i metodi HTTP
  • Testare la sicurezza rigorosa del trasporto HTTP
  • Testare i criteri tra domini RIA
  • Autorizzazione per i file di prova
  • Test per l'acquisizione di sottodomini
  • Testare l'archiviazione cloud

Test di identità Management

  • Definizioni dei ruoli di test
  • Testare il processo di registrazione dell'utente
  • Testare il processo di provisioning dell'account
  • Test per l'enumerazione degli account e l'account utente indovinabile
  • Test dei criteri per i nomi utente deboli o non applicati

Test di autenticazione

  • Test delle credenziali trasportate su un canale crittografato
  • Test delle credenziali predefinite
  • Test per il meccanismo di blocco debole
  • Test per l'esclusione dello schema di autenticazione
  • Test per la memorizzazione della password vulnerabile
  • Test per la debolezza della cache del browser
  • Test per i criteri per le password deboli
  • Test per la risposta debole alla domanda di sicurezza
  • Test delle funzionalità di modifica o reimpostazione della password deboli
  • Test per l'autenticazione più debole nel canale alternativo

Test di autorizzazione

  • Test dell'attraversamento della directory/inclusione di file
  • Test per l'esclusione dello schema di autorizzazione
  • Test per l'escalation dei privilegi
  • Test per riferimenti diretti a oggetti non sicuri

Sessione Management Test

  • Test dello schema di gestione delle sessioni
  • Test per gli attributi dei cookie
  • Test per la fissazione della sessione
  • Test delle variabili di sessione esposte
  • Test per la falsificazione di richieste cross-site
  • Test della funzionalità di disconnessione
  • Timeout della sessione di test
  • Test per il rompicapo della sessione
  • Test per il dirottamento della sessione

Test di convalida dell'input

  • Test per lo scripting cross-site riflesso
  • Test per lo scripting cross-site archiviato
  • Test per la manomissione dei verbi HTTP
  • Test per l'inquinamento da parametri HTTP
  • Test per SQL injection
  • Test per Oracle
  • Test per MySQL
  • Test per SQL Server
  • Test per PostgreSQL
  • Test per MS Access
  • Test per l'inserimento NoSQL
  • Test per l'iniezione di ORM
  • Test per il lato client
  • Test per l'iniezione di LDAP
  • Test per l'inserimento di XML
  • Test per l'iniezione SSI
  • Test per l'iniezione XPath
  • Test per l'iniezione IMAP/SMTP
  • Test per l'inserimento di codice
  • Test per l'inclusione di file locali
  • Test per l'inclusione di file remoti
  • Test per l'inserimento di comandi
  • Test per l'inserimento di stringhe di formato
  • Test per la vulnerabilità incubata
  • Test per la suddivisione/contrabbando HTTP
  • Test delle richieste HTTP in ingresso
  • Test per l'inserimento dell'intestazione host
  • Test per l'inserimento di modelli lato server
  • Test per la falsificazione delle richieste lato server

Test per la gestione degli errori

  • Test per la gestione impropria degli errori
  • Test per le analisi dello stack

Test per la crittografia debole

  • Test per la sicurezza del livello di trasporto debole
  • Test per l'imbottitura Oracle
  • Test delle informazioni sensibili inviate tramite canali non crittografati
  • Test per la crittografia debole

Business Test di logica

  • Introduzione alla logica di business
  • Testare la convalida dei dati della logica di business
  • Testare la capacità di falsificare le richieste
  • Controlli di integrità dei test
  • Test per la temporizzazione del processo
  • Testare il numero di volte in cui una funzione può essere utilizzata limita
  • Test per l'elusione dei flussi di lavoro
  • Testare le difese contro l'uso improprio delle applicazioni
  • Caricamento di prova di tipi di file imprevisti
  • Testare il caricamento di file dannosi

Test lato client

  • Test per il cross-site scripting basato su DOM
  • Test per l'esecuzione JavaScript
  • Test per l'iniezione HTML
  • Test per il reindirizzamentoURL lato client
  • Test per l'iniezione di CSS
  • Test per la manipolazione delle risorse lato client
  • Test della condivisione delle risorse tra le origini
  • Test per il flashing cross-site
  • Test per il clickjacking
  • Test di WebSocket
  • Test della messaggistica Web
  • Test dell'archiviazione del browser
  • Test per l'inclusione di script tra siti

API Testing

  • Collaudo GraphQL

Cronaca

  • Introduzione
  • Sintesi
  • Risultati
  • Appendici

Requisiti

    Una comprensione generale del ciclo di vita dello sviluppo web Esperienza nello sviluppo, nella sicurezza e nel test di applicazioni web.

Pubblico

    Gli sviluppatori Ingegneri Architetti
  21 ore
 

Numero di Partecipanti


Data Inizio

Data Fine


Le date sono soggette a disponibilità e si svolgono tra le 09:30 e le 16:30.
I corsi di formazione pubblici richiedono più di 5 partecipanti.

Recensioni (1)

Corsi relativi

CRISC - Certified in Risk and Information Systems Control

  21 ore

Microsoft SDL Core

  14 ore

Standard Java Security

  14 ore

Java and Web Application Security

  21 ore

Advanced Java Security

  21 ore

Advanced Java, JEE and Web Application Security

  28 ore

.NET, C# and ASP.NET Security Development

  14 ore

Comprehensive C# and .NET Application Security

  21 ore

Advanced C#, ASP.NET and Web Application Security

  21 ore

Categorie relative