课程大纲

介绍

探索 OWASP 测试项目

  • 测试原理
  • 测试技术
  • 派生安全测试要求
  • 在开发和测试工作流程中集成安全测试
  • 安全测试数据分析和报告

使用 OWASP 测试框架

  • 第 1 阶段:开发开始前
  • 第 2 阶段:在定义和设计期间
  • 第 3 阶段:开发期间
  • 第 4 阶段:部署期间
  • 第 5 阶段:维护和运营
  • 典型的生命周期测试工作流程
  • 渗透测试方法

测试 Web 应用程序安全性

  • 导言和目标
  • 信息收集
  • 对信息泄露进行搜索引擎发现和侦察
  • 指纹 Web 服务器
  • 检查 Web 服务器图元文件是否存在信息泄露
  • 枚举 Web 服务器上的应用程序
  • 查看网页内容是否存在信息泄露
  • 确定应用程序入口点
  • 通过应用程序映射执行路径
  • 指纹 Web 应用程序框架
  • 指纹 Web 应用程序
  • 地图应用程序体系结构
  • 配置和部署管理测试
  • 测试网络/基础结构配置
  • 测试应用程序平台配置
  • 测试敏感信息的文件扩展名处理
  • 查看旧文件、备份文件和未引用文件中的敏感信息
  • 枚举基础结构和应用程序管理界面
  • 测试 HTTP 方法
  • 测试 HTTP 严格传输安全性
  • 测试 RIA 跨域策略
  • 测试文件权限
  • 测试子域接管
  • 测试云存储

身份 Management 测试

  • 测试角色定义
  • 测试用户注册过程
  • 测试帐户预配过程
  • 测试帐户枚举和可猜测的用户帐户
  • 测试弱用户名策略或未强制执行的用户名策略

身份验证测试

  • 测试通过加密通道传输的凭据
  • 测试默认凭据
  • 测试弱锁定机制
  • 测试绕过身份验证架构
  • 测试易受攻击的记忆密码
  • 测试浏览器缓存弱点
  • 测试弱密码策略
  • 测试弱安全问题答案
  • 测试弱密码更改或重置功能
  • 测试备用通道中较弱的身份验证

授权测试

  • 测试目录遍历/文件包含
  • 测试绕过授权架构
  • 测试权限提升
  • 测试不安全的直接对象引用

会话 Management 测试

  • 测试会话管理架构
  • 测试 Cookie 属性
  • 测试会话固定
  • 测试公开的会话变量
  • 测试跨站点请求伪造
  • 测试注销功能
  • 测试会话超时
  • 测试会话困惑
  • 测试会话劫持

输入验证测试

  • 测试反射式跨站点脚本
  • 测试存储的跨站点脚本
  • 测试 HTTP 谓词篡改
  • 测试 HTTP 参数污染
  • 测试 SQL 注入
  • 针对 Oracle 的测试
  • MySQL测试
  • 针对 SQL Server 进行测试
  • PostgreSQL 测试
  • MS Access 测试
  • 测试 NoSQL 注入
  • ORM注入测试
  • 客户端测试
  • LDAP注入测试
  • XML 注入测试
  • SSI注射检测
  • XPath注射试验
  • IMAP/SMTP 注入测试
  • 代码注入测试
  • 测试本地文件包含
  • 测试远程文件包含
  • 测试命令注入
  • 格式字符串注入测试
  • 测试潜伏漏洞
  • 测试 HTTP 拆分/走私
  • 测试 HTTP 传入请求
  • 测试主机标头注入
  • 测试服务器端模板注入
  • 测试服务器端请求伪造

错误处理测试

  • 测试错误处理不当
  • 测试堆栈跟踪

测试弱加密

  • 测试弱传输层安全性
  • 填充测试 Oracle
  • 测试通过未加密通道发送的敏感信息
  • 测试弱加密

Business 逻辑测试

  • 业务逻辑简介
  • 测试业务逻辑数据验证
  • 测试伪造请求的能力
  • 测试完整性检查
  • 测试过程时序
  • 测试函数可以使用限制的次数
  • 测试工作流的规避
  • 测试针对应用程序滥用的防御措施
  • 测试意外文件类型的上传
  • 测试恶意文件的上传

客户端测试

  • 测试基于 DOM 的跨站点脚本
  • 测试 JavaScript 执行
  • HTML 注入测试
  • 测试客户端 URL 重定向
  • CSS 注入测试
  • 测试客户端资源操作
  • 测试跨域资源共享
  • 跨站点刷机测试
  • 测试点击劫持
  • 测试 WebSocket
  • 测试 Web 消息传递
  • 测试浏览器存储
  • 测试跨站点脚本包含

API Testing

  • 测试 GraphQL

报告

  • 介绍
  • 摘要
  • 发现
  • 附录

要求

    对 Web 开发生命周期的一般了解 具有 Web 应用程序开发、安全和测试方面的经验。

观众

    开发 人员 工程师 建筑师
  21 小时
 

人数


开始

完结


Dates are subject to availability and take place between 09:30 and 16:30.
Open Training Courses require 5+ participants.

客户评论 (1)

相关课程

Java and Web Application Security

  21 小时

Advanced Java Security

  21 小时

Advanced Java, JEE and Web Application Security

  28 小时

Comprehensive C# and .NET Application Security

  21 小时

Advanced C#, ASP.NET and Web Application Security

  21 小时

课程分类