Plan Szkolenia
Wstęp
Badanie OWASP projektu testowego
- Zasady testowania
- Techniki testowania
- Wyprowadzanie wymagań dotyczących testów bezpieczeństwa
- Testy bezpieczeństwa zintegrowane z przepływami prac programistycznych i testowych
- Analiza i raportowanie danych z testów bezpieczeństwa
Praca z OWASP Frameworkiem testowym
- Faza 1: Przed rozpoczęciem prac rozwojowych
- Faza 2: Podczas definiowania i projektowania
- Faza 3: Podczas rozwoju
- Faza 4: Podczas wdrażania
- Faza 5: Konserwacja i operacje
- Typowy przepływ pracy podczas testowania cyklu życia
- Metodyki testów penetracyjnych
Testowanie bezpieczeństwa aplikacji internetowej
- Wprowadzenie i cele
- Zbieranie informacji
- Przeprowadź wyszukiwanie w wyszukiwarkach i rozpoznaj wycieki informacji
- Serwer sieciowy linii papilarnych
- Przejrzyj metapliki serwera WWW pod kątem wycieku informacji
- Wylicz aplikacje na serwerze WWW
- Przejrzyj zawartość strony internetowej pod kątem wycieku informacji
- Identyfikuj punkty wejścia aplikacji
- Mapuj ścieżki wykonania poprzez aplikację
- Framework aplikacji internetowych obsługujących odciski palców
- Aplikacja internetowa obsługująca odciski palców
- Architektura aplikacji mapowej
- Testowanie zarządzania konfiguracją i wdrażaniem
- Przetestuj konfigurację sieci/infrastruktury
- Przetestuj konfigurację platformy aplikacji
- Przetestuj obsługę rozszerzeń plików pod kątem poufnych informacji
- Przejrzyj stare, kopie zapasowe i pliki, do których nie ma odwołań, pod kątem poufnych informacji
- Wymień interfejsy administratora infrastruktury i aplikacji
- Przetestuj metody HTTP
- Przetestuj ścisłe zabezpieczenia transportu HTTP
- Przetestuj zasady RIA dotyczące wielu domen
- Testuj uprawnienia do pliku
- Test przejęcia subdomeny
- Przetestuj pamięć w chmurze
Identity Management Testowanie
- Definicje ról testowych
- Testuj proces rejestracji użytkownika
- Testuj proces udostępniania konta
- Testowanie wyliczenia kont i możliwego do odgadnięcia konta użytkownika
- Testowanie słabych lub niewymuszonych zasad dotyczących nazw użytkowników
Testowanie uwierzytelniania
- Testowanie poświadczeń przesyłanych zaszyfrowanym kanałem
- Testowanie domyślnych poświadczeń
- Testowanie słabego mechanizmu blokującego
- Testowanie obejścia schematu uwierzytelniania
- Testowanie pod kątem podatności na zapamiętywanie hasła
- Testowanie słabości pamięci podręcznej przeglądarki
- Testowanie słabych zasad haseł
- Testowanie słabej odpowiedzi na pytanie zabezpieczające
- Testowanie słabych funkcji zmiany hasła lub resetowania
- Testowanie słabszego uwierzytelnienia w kanale alternatywnym
Testowanie autoryzacyjne
- Testowanie przeglądania katalogu/pliku
- Testowanie obejścia schematu autoryzacji
- Testowanie eskalacji uprawnień
- Testowanie niepewnych bezpośrednich odniesień do obiektów
Sesja Management Testowanie
- Testowanie schematu zarządzania sesją
- Testowanie atrybutów plików cookie
- Testowanie utrwalania sesji
- Testowanie ujawnionych zmiennych sesji
- Testowanie pod kątem fałszowania żądań między witrynami
- Testowanie funkcjonalności wylogowania
- Przekroczono limit czasu sesji testowej
- Testowanie zagadki sesji
- Testowanie przechwytywania sesji
Testowanie sprawdzające dane wejściowe
- Testowanie odzwierciedlonych skryptów między witrynami
- Testowanie przechowywanych skryptów między witrynami
- Testowanie manipulacji czasownikami HTTP
- Testowanie zanieczyszczenia parametrów HTTP
- Badanie na iniekcję SQL.
- Testowanie dla Oracle
- Testowanie dla MySQL
- Testowanie dla serwera SQL.
- Testowanie dla PostgreSQL
- Testowanie na stwardnienie rozsiane Access
- Testowanie na iniekcję NoSQL.
- Testowanie wstrzykiwania ORM
- Testowanie po stronie klienta
- Testowanie na iniekcję LDAP.
- Badanie na iniekcję XML.
- Testowanie wtrysku SSI
- Badanie na iniekcję XPath.
- Testowanie wstrzykiwania IMAP/SMTP
- Testowanie wstrzykiwania kodu
- Testowanie dołączania plików lokalnych
- Testowanie zdalnego dołączania plików
- Testowanie wstrzykiwania poleceń
- Testowanie wstrzykiwania ciągu formatującego
- Testowanie inkubowanej podatności
- Testowanie pod kątem podziału/przemytu HTTP
- Testowanie przychodzących żądań HTTP
- Testowanie wstrzykiwania nagłówka hosta
- Testowanie wstrzykiwania szablonu po stronie serwera
- Testowanie fałszowania żądań po stronie serwera
Testowanie obsługi błędów
- Testowanie niewłaściwej obsługi błędów
- Testowanie śladów stosu
Testowanie słabej kryptografii
- Testowanie słabego bezpieczeństwa warstwy transportowej
- Testowanie wyściółki Oracle
- Testowanie wrażliwych informacji przesyłanych kanałami niezaszyfrowanymi
- Testowanie słabego szyfrowania
Business Testowanie logiki
- Wprowadzenie do logiki biznesowej
- Przetestuj weryfikację danych logiki biznesowej
- Testuj zdolność do fałszowania żądań
- Sprawdzanie integralności testów
- Testowanie czasu procesu
- Sprawdź, ile razy funkcja może zostać użyta, limity
- Testowanie obejścia przepływów pracy
- Testuj zabezpieczenia przed niewłaściwym użyciem aplikacji
- Przetestuj przesyłanie nieoczekiwanych typów plików
- Testowe przesyłanie złośliwych plików
Testowanie po stronie klienta
- Testowanie skryptów krzyżowych opartych na DOM
- Testowanie Javawykonania skryptu
- Testowanie na iniekcję HTML.
- Testowanie przekierowania adresu URL po stronie klienta
- Testowanie pod kątem CSS iniekcji
- Testowanie manipulacji zasobami po stronie klienta
- Testowanie udostępniania zasobów między źródłami
- Testowanie flashowania między witrynami
- Testowanie pod kątem kliknięcia
- Testowanie WebSocketów
- Testowanie wiadomości internetowych
- Testowanie pamięci przeglądarki
- Testowanie włączenia skryptów między witrynami
API Testing
- Testowanie GraphQL
Raportowanie
- Wstęp
- Podsumowanie wykonawcze
- Wyniki
- Dodatki
Opinie uczestników (3)
Zobaczenie na żywo faktycznej realizacji działań z użyciem przykładowych narzędzi do badania/łamania zabezpieczeń aplikacji.
Paweł - Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy
Complex approach to the topic in connection to the practical examples, all this together with the trainer's energy and his huge experience.
Ihor - Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy
Szkolenie - Web Security with the OWASP Testing Framework
I found the entire OWASP course to be informative and well structured. If I had to pick one aspect that stood out the most, I'd say it was the coverage of web security vulnerabilities and the practical examples shown. The course helped me understand how to apply owasp concepts in various scenarios using different tools