感谢您发送咨询!我们的团队成员将很快与您联系。
感谢您发送预订!我们的团队成员将很快与您联系。
课程大纲
介绍
探索 OWASP 测试专案
- 测试原则
- 测试技术
- 推导安全测试要求
- 集成在开发和测试工作流程中的安全测试
- 安全测试数据分析和报告
使用 OWASP 测试框架
- 第1阶段:开发开始前
- 第 2 阶段:在定义和设计期间
- 第 3 阶段:开发过程中
- 阶段 4:部署期间
- 第 5 阶段:维护和运营
- 典型的生命周期测试工作流程
- 渗透测试方法
测试 Web Application Security
- 简介和目标
- 资讯收集
- 对资讯泄露进行搜寻引擎发现和侦察
- 指纹 Web 伺服器
- 检查 Web 伺服器元档是否存在信息泄露
- 枚举 Web 伺服器上的应用程式
- 查看网页内容是否有信息泄露
- 确定应用程式入口点
- 通过应用程式映射执行路径
- 指纹 Web 应用程式框架
- 指纹 Web 应用程式
- 映射应用程式体系结构
- 配置和部署管理测试
- 测试网路 / 基础设施配置
- 测试应用程式平台配置
- 测试敏感资讯的档扩展名处理
- 查看旧档、备份档和未引用的档中的敏感资讯
- 列举基础架构和应用程式管理介面
- 测试 HTTP 方法
- 测试 HTTP 严格传输安全性
- 测试 RIA 跨域策略
- 测试文件许可权
- 测试子域接管
- 测试云存储
身份 Management 测试
- 测试角色定义
- 测试用户注册流程
- 测试账户预置流程
- 测试帐户枚举和可猜测的用户帐户
- 测试弱使用者名策略或未执行的使用者名策略
身份验证测试
- 测试通过加密通道传输的凭证
- 测试预设凭据
- 测试弱锁定机制
- 测试绕过身份验证架构
- 测试易受攻击的 Remember password
- 测试浏览器快取弱点
- 测试弱口令策略
- 测试弱安全问题答案
- 测试弱密码更改或重置功能
- 在备用通道中测试较弱的身份验证
授权测试
- 测试目录遍历/档包含
- 测试绕过授权架构
- 测试许可权提升
- 测试不安全的直接物件引用
会话 Management 测试
- 测试会话管理架构
- 测试 Cookie 属性
- 会话固定测试
- 测试公开的会话变数
- 测试跨网站请求伪造
- 测试注销功能
- 测试会话超时
- 测试会话谜题
- 测试会话劫持
输入验证测试
- 测试反射式跨站脚本
- 测试存储的跨网站脚本
- 测试 HTTP 动词篡改
- 测试 HTTP 参数污染
- SQL 注射液测试
- 测试 Oracle
- 测试 MySQL
- 测试 SQL 伺服器
- 测试 PostgreSQL
- MS 检测 Access
- NoSQL 注射液测试
- ORM 注射测试
- 客户端测试
- LDAP 注射液测试
- XML 注射液测试
- SSI 注射测试
- XPath 注射试验
- 测试 IMAP/SMTP 注入
- 代码注入测试
- 测试本地档包含
- 测试远端档包含
- 测试命令注入
- 测试格式字串注入
- 测试孵化漏洞
- 测试 HTTP 分割/走私
- 测试 HTTP 传入请求
- 测试主机标头注入
- 伺服器端范本注入测试
- 伺服器端请求伪造测试
错误处理测试
- 测试不正确的错误处理
- 测试堆叠跟踪
弱 Crypto 绘图测试
- 测试弱传输层安全性
- 填充测试 Oracle
- 测试通过未加密通道发送的敏感资讯
- 弱加密测试
Business 逻辑测试
- 业务逻辑简介
- 测试业务逻辑数据验证
- 测试伪造请求的能力
- 测试完整性检查
- 测试进程计时
- 测试函数可以使用限制的次数
- 规避工作流程的测试
- 测试应用程式滥用的防御措施
- 测试上传意外档类型
- 测试上传恶意档
客户端测试
- 测试基于 DOM 的跨网站脚本
- 测试 JavaScript 执行
- HTML 注射液测试
- 测试用户端 URL 重定向
- CSS 注射液测试
- 测试客户端资源操作
- 测试跨域资源分享
- 测试跨网站刷写
- 点击劫持测试
- 测试 WebSockets
- 测试 Web 消息传递
- 测试浏览器存储
- 测试跨网站脚本包含
API Testing
- 测试 GraphQL
报告
- 介绍
- 摘要
- 发现
- 附录
要求
-
对 Web 开发生命周期的一般了解
具有 Web 应用程序开发、安全和测试方面的经验。
观众
-
开发 人员
工程师
建筑师
21 小时
客户评论 (7)
与实际示例相关的主题的复杂方法,所有这些都与培训师的精力和丰富的经验一起。
Ihor - Osrodek Przetwarzania Informacji - Panstwowy Instytut Badawczy
课程 - Web Security with the OWASP Testing Framework
机器翻译
我发现整个 OWASP 课程内容丰富且结构合理。如果我必须选择一个最突出的方面,我会说它是 Web 安全漏洞的覆盖范围和显示的实际示例。该课程帮助我了解如何使用不同的工具在各种场景中应用 owasp 概念
Piotr - Osrodek Przetwarzania Informacji - Panstwowy Instytut Badawczy
课程 - Web Security with the OWASP Testing Framework
机器翻译
* great live-demos * good pacing * good intro to security testing
Robert McClure - EUROPOL
课程 - Web Security with the OWASP Testing Framework
the content and the knowledge of the trainer
Bogdan Birou - EUROPOL
课程 - Web Security with the OWASP Testing Framework
Great and relevant examples, good speed, good excercises. Highly recommended!
Istvan Visegradi - EUROPOL
课程 - Web Security with the OWASP Testing Framework
Very skilled and likable trainer. Interesting topics and real life examples.
Jon Lunde - Buypass AS
课程 - Web Security with the OWASP Testing Framework
Demos and exercises
