Grazie per aver inviato la vostra richiesta! Un membro del nostro team vi contatterà a breve.
Grazie per aver inviato la vostra prenotazione! Un membro del nostro team vi contatterà a breve.
Struttura del corso
Introduzione
Esplorazione del OWASP progetto di test
- Principi di prova
- Tecniche di prova
- Derivazione dei requisiti dei test di sicurezza
- Test di sicurezza integrati nei flussi di lavoro di sviluppo e test
- Analisi e reportistica dei dati dei test di sicurezza
Utilizzo del OWASP Testing Framework
- Fase 1: Prima dell'inizio dello sviluppo
- Fase 2: Durante la definizione e la progettazione
- Fase 3: Durante lo sviluppo
- Fase 4: durante la distribuzione
- Fase 5: Manutenzione e funzionamento
- Un tipico flusso di lavoro di test del ciclo di vita
- Metodologie di penetration test
Test della sicurezza delle applicazioni Web
- Introduzione e obiettivi
- Raccolta di informazioni
- Condurre l'individuazione e la ricognizione dei motori di ricerca per la perdita di informazioni
- Server web di impronte digitali
- Esamina i metafile del server Web per rilevare eventuali perdite di informazioni
- Enumerare le applicazioni sul server Web
- Esamina il contenuto della pagina Web per rilevare eventuali fughe di informazioni
- Identificare i punti di ingresso dell'applicazione
- Mappare i percorsi di esecuzione tramite l'applicazione
- Framework dell'applicazione Web delle impronte digitali
- Applicazione web per impronte digitali
- Mappare l'architettura dell'applicazione
- Test di gestione della configurazione e della distribuzione
- Testare la configurazione della rete/infrastruttura
- Testare la configurazione della piattaforma applicativa
- Testare la gestione delle estensioni dei file per le informazioni riservate
- Esaminare i file obsoleti, di backup e senza riferimenti per le informazioni riservate
- Enumerare le interfacce di amministrazione dell'infrastruttura e delle applicazioni
- Testare i metodi HTTP
- Testare la sicurezza rigorosa del trasporto HTTP
- Testare i criteri tra domini RIA
- Autorizzazione per i file di prova
- Test per l'acquisizione di sottodomini
- Testare l'archiviazione cloud
Test di identità Management
- Definizioni dei ruoli di test
- Testare il processo di registrazione dell'utente
- Testare il processo di provisioning dell'account
- Test per l'enumerazione degli account e l'account utente indovinabile
- Test dei criteri per i nomi utente deboli o non applicati
Test di autenticazione
- Test delle credenziali trasportate su un canale crittografato
- Test delle credenziali predefinite
- Test per il meccanismo di blocco debole
- Test per l'esclusione dello schema di autenticazione
- Test per la memorizzazione della password vulnerabile
- Test per la debolezza della cache del browser
- Test per i criteri per le password deboli
- Test per la risposta debole alla domanda di sicurezza
- Test delle funzionalità di modifica o reimpostazione della password deboli
- Test per l'autenticazione più debole nel canale alternativo
Test di autorizzazione
- Test dell'attraversamento della directory/inclusione di file
- Test per l'esclusione dello schema di autorizzazione
- Test per l'escalation dei privilegi
- Test per riferimenti diretti a oggetti non sicuri
Sessione Management Test
- Test dello schema di gestione delle sessioni
- Test per gli attributi dei cookie
- Test per la fissazione della sessione
- Test delle variabili di sessione esposte
- Test per la falsificazione di richieste cross-site
- Test della funzionalità di disconnessione
- Timeout della sessione di test
- Test per il rompicapo della sessione
- Test per il dirottamento della sessione
Test di convalida dell'input
- Test per lo scripting cross-site riflesso
- Test per lo scripting cross-site archiviato
- Test per la manomissione dei verbi HTTP
- Test per l'inquinamento da parametri HTTP
- Test per SQL injection
- Test per Oracle
- Test per MySQL
- Test per SQL Server
- Test per PostgreSQL
- Test per MS Access
- Test per l'inserimento NoSQL
- Test per l'iniezione di ORM
- Test per il lato client
- Test per l'iniezione di LDAP
- Test per l'inserimento di XML
- Test per l'iniezione SSI
- Test per l'iniezione XPath
- Test per l'iniezione IMAP/SMTP
- Test per l'inserimento di codice
- Test per l'inclusione di file locali
- Test per l'inclusione di file remoti
- Test per l'inserimento di comandi
- Test per l'inserimento di stringhe di formato
- Test per la vulnerabilità incubata
- Test per la suddivisione/contrabbando HTTP
- Test delle richieste HTTP in ingresso
- Test per l'inserimento dell'intestazione host
- Test per l'inserimento di modelli lato server
- Test per la falsificazione delle richieste lato server
Test per la gestione degli errori
- Test per la gestione impropria degli errori
- Test per le analisi dello stack
Test per la crittografia debole
- Test per la sicurezza del livello di trasporto debole
- Test per l'imbottitura Oracle
- Test delle informazioni sensibili inviate tramite canali non crittografati
- Test per la crittografia debole
Business Test di logica
- Introduzione alla logica di business
- Testare la convalida dei dati della logica di business
- Testare la capacità di falsificare le richieste
- Controlli di integrità dei test
- Test per la temporizzazione del processo
- Testare il numero di volte in cui una funzione può essere utilizzata limita
- Test per l'elusione dei flussi di lavoro
- Testare le difese contro l'uso improprio delle applicazioni
- Caricamento di prova di tipi di file imprevisti
- Testare il caricamento di file dannosi
Test lato client
- Test per il cross-site scripting basato su DOM
- Test per l'esecuzione JavaScript
- Test per l'iniezione HTML
- Test per il reindirizzamentoURL lato client
- Test per l'iniezione di CSS
- Test per la manipolazione delle risorse lato client
- Test della condivisione delle risorse tra le origini
- Test per il flashing cross-site
- Test per il clickjacking
- Test di WebSocket
- Test della messaggistica Web
- Test dell'archiviazione del browser
- Test per l'inclusione di script tra siti
API Testing
- Collaudo GraphQL
Cronaca
- Introduzione
- Sintesi
- Risultati
- Appendici
Requisiti
-
Una comprensione generale del ciclo di vita dello sviluppo web
Esperienza nello sviluppo, nella sicurezza e nel test di applicazioni web.
Pubblico
-
Gli sviluppatori
Ingegneri
Architetti
21 ore
Recensioni (1)
Guarda in tempo reale l'esecuzione effettiva delle azioni utilizzando strumenti di esempio per applicazioni di test/hacking.
Paweł - Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy
Corso - Web Security with the OWASP Testing Framework
Traduzione automatica