感谢您的预订!我们的团队成员将会尽快与您取得联系。
感谢您的预订!我们的团队成员将会尽快与您取得联系。
课程大纲
介绍
探索 OWASP 测试项目
- 测试原理
- 测试技术
- 派生安全测试要求
- 在开发和测试工作流程中集成安全测试
- 安全测试数据分析和报告
使用 OWASP 测试框架
- 第 1 阶段:开发开始前
- 第 2 阶段:在定义和设计期间
- 第 3 阶段:开发期间
- 第 4 阶段:部署期间
- 第 5 阶段:维护和运营
- 典型的生命周期测试工作流程
- 渗透测试方法
测试 Web 应用程序安全性
- 导言和目标
- 信息收集
- 对信息泄露进行搜索引擎发现和侦察
- 指纹 Web 服务器
- 检查 Web 服务器图元文件是否存在信息泄露
- 枚举 Web 服务器上的应用程序
- 查看网页内容是否存在信息泄露
- 确定应用程序入口点
- 通过应用程序映射执行路径
- 指纹 Web 应用程序框架
- 指纹 Web 应用程序
- 地图应用程序体系结构
- 配置和部署管理测试
- 测试网络/基础结构配置
- 测试应用程序平台配置
- 测试敏感信息的文件扩展名处理
- 查看旧文件、备份文件和未引用文件中的敏感信息
- 枚举基础结构和应用程序管理界面
- 测试 HTTP 方法
- 测试 HTTP 严格传输安全性
- 测试 RIA 跨域策略
- 测试文件权限
- 测试子域接管
- 测试云存储
身份 Management 测试
- 测试角色定义
- 测试用户注册过程
- 测试帐户预配过程
- 测试帐户枚举和可猜测的用户帐户
- 测试弱用户名策略或未强制执行的用户名策略
身份验证测试
- 测试通过加密通道传输的凭据
- 测试默认凭据
- 测试弱锁定机制
- 测试绕过身份验证架构
- 测试易受攻击的记忆密码
- 测试浏览器缓存弱点
- 测试弱密码策略
- 测试弱安全问题答案
- 测试弱密码更改或重置功能
- 测试备用通道中较弱的身份验证
授权测试
- 测试目录遍历/文件包含
- 测试绕过授权架构
- 测试权限提升
- 测试不安全的直接对象引用
会话 Management 测试
- 测试会话管理架构
- 测试 Cookie 属性
- 测试会话固定
- 测试公开的会话变量
- 测试跨站点请求伪造
- 测试注销功能
- 测试会话超时
- 测试会话困惑
- 测试会话劫持
输入验证测试
- 测试反射式跨站点脚本
- 测试存储的跨站点脚本
- 测试 HTTP 谓词篡改
- 测试 HTTP 参数污染
- 测试 SQL 注入
- 针对 Oracle 的测试
- MySQL测试
- 针对 SQL Server 进行测试
- PostgreSQL 测试
- MS Access 测试
- 测试 NoSQL 注入
- ORM注入测试
- 客户端测试
- LDAP注入测试
- XML 注入测试
- SSI注射检测
- XPath注射试验
- IMAP/SMTP 注入测试
- 代码注入测试
- 测试本地文件包含
- 测试远程文件包含
- 测试命令注入
- 格式字符串注入测试
- 测试潜伏漏洞
- 测试 HTTP 拆分/走私
- 测试 HTTP 传入请求
- 测试主机标头注入
- 测试服务器端模板注入
- 测试服务器端请求伪造
错误处理测试
- 测试错误处理不当
- 测试堆栈跟踪
测试弱加密
- 测试弱传输层安全性
- 填充测试 Oracle
- 测试通过未加密通道发送的敏感信息
- 测试弱加密
Business 逻辑测试
- 业务逻辑简介
- 测试业务逻辑数据验证
- 测试伪造请求的能力
- 测试完整性检查
- 测试过程时序
- 测试函数可以使用限制的次数
- 测试工作流的规避
- 测试针对应用程序滥用的防御措施
- 测试意外文件类型的上传
- 测试恶意文件的上传
客户端测试
- 测试基于 DOM 的跨站点脚本
- 测试 JavaScript 执行
- HTML 注入测试
- 测试客户端 URL 重定向
- CSS 注入测试
- 测试客户端资源操作
- 测试跨域资源共享
- 跨站点刷机测试
- 测试点击劫持
- 测试 WebSocket
- 测试 Web 消息传递
- 测试浏览器存储
- 测试跨站点脚本包含
API Testing
- 测试 GraphQL
报告
- 介绍
- 摘要
- 发现
- 附录
要求
-
对 Web 开发生命周期的一般了解
具有 Web 应用程序开发、安全和测试方面的经验。
观众
-
开发 人员
工程师
建筑师
21 小时
客户评论 (1)
使用用于测试/黑客应用程序的示例工具实时查看操作的实际执行。
Paweł - Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy
课程 - Web Security with the OWASP Testing Framework
机器翻译