课程大纲

介绍

探索 OWASP 测试项目

  • 测试原理
  • 测试技术
  • 派生安全测试要求
  • 在开发和测试工作流程中集成安全测试
  • 安全测试数据分析和报告

使用 OWASP 测试框架

  • 第 1 阶段:开发开始前
  • 第 2 阶段:在定义和设计期间
  • 第 3 阶段:开发期间
  • 第 4 阶段:部署期间
  • 第 5 阶段:维护和运营
  • 典型的生命周期测试工作流程
  • 渗透测试方法

测试 Web 应用程序安全性

  • 导言和目标
  • 信息收集
  • 对信息泄露进行搜索引擎发现和侦察
  • 指纹 Web 服务器
  • 检查 Web 服务器图元文件是否存在信息泄露
  • 枚举 Web 服务器上的应用程序
  • 查看网页内容是否存在信息泄露
  • 确定应用程序入口点
  • 通过应用程序映射执行路径
  • 指纹 Web 应用程序框架
  • 指纹 Web 应用程序
  • 地图应用程序体系结构
  • 配置和部署管理测试
  • 测试网络/基础结构配置
  • 测试应用程序平台配置
  • 测试敏感信息的文件扩展名处理
  • 查看旧文件、备份文件和未引用文件中的敏感信息
  • 枚举基础结构和应用程序管理界面
  • 测试 HTTP 方法
  • 测试 HTTP 严格传输安全性
  • 测试 RIA 跨域策略
  • 测试文件权限
  • 测试子域接管
  • 测试云存储

身份 Management 测试

  • 测试角色定义
  • 测试用户注册过程
  • 测试帐户预配过程
  • 测试帐户枚举和可猜测的用户帐户
  • 测试弱用户名策略或未强制执行的用户名策略

身份验证测试

  • 测试通过加密通道传输的凭据
  • 测试默认凭据
  • 测试弱锁定机制
  • 测试绕过身份验证架构
  • 测试易受攻击的记忆密码
  • 测试浏览器缓存弱点
  • 测试弱密码策略
  • 测试弱安全问题答案
  • 测试弱密码更改或重置功能
  • 测试备用通道中较弱的身份验证

授权测试

  • 测试目录遍历/文件包含
  • 测试绕过授权架构
  • 测试权限提升
  • 测试不安全的直接对象引用

会话 Management 测试

  • 测试会话管理架构
  • 测试 Cookie 属性
  • 测试会话固定
  • 测试公开的会话变量
  • 测试跨站点请求伪造
  • 测试注销功能
  • 测试会话超时
  • 测试会话困惑
  • 测试会话劫持

输入验证测试

  • 测试反射式跨站点脚本
  • 测试存储的跨站点脚本
  • 测试 HTTP 谓词篡改
  • 测试 HTTP 参数污染
  • 测试 SQL 注入
  • 针对 Oracle 的测试
  • MySQL测试
  • 针对 SQL Server 进行测试
  • PostgreSQL 测试
  • MS Access 测试
  • 测试 NoSQL 注入
  • ORM注入测试
  • 客户端测试
  • LDAP注入测试
  • XML 注入测试
  • SSI注射检测
  • XPath注射试验
  • IMAP/SMTP 注入测试
  • 代码注入测试
  • 测试本地文件包含
  • 测试远程文件包含
  • 测试命令注入
  • 格式字符串注入测试
  • 测试潜伏漏洞
  • 测试 HTTP 拆分/走私
  • 测试 HTTP 传入请求
  • 测试主机标头注入
  • 测试服务器端模板注入
  • 测试服务器端请求伪造

错误处理测试

  • 测试错误处理不当
  • 测试堆栈跟踪

测试弱加密

  • 测试弱传输层安全性
  • 填充测试 Oracle
  • 测试通过未加密通道发送的敏感信息
  • 测试弱加密

Business 逻辑测试

  • 业务逻辑简介
  • 测试业务逻辑数据验证
  • 测试伪造请求的能力
  • 测试完整性检查
  • 测试过程时序
  • 测试函数可以使用限制的次数
  • 测试工作流的规避
  • 测试针对应用程序滥用的防御措施
  • 测试意外文件类型的上传
  • 测试恶意文件的上传

客户端测试

  • 测试基于 DOM 的跨站点脚本
  • 测试 JavaScript 执行
  • HTML 注入测试
  • 测试客户端 URL 重定向
  • CSS 注入测试
  • 测试客户端资源操作
  • 测试跨域资源共享
  • 跨站点刷机测试
  • 测试点击劫持
  • 测试 WebSocket
  • 测试 Web 消息传递
  • 测试浏览器存储
  • 测试跨站点脚本包含

API Testing

  • 测试 GraphQL

报告

  • 介绍
  • 摘要
  • 发现
  • 附录

要求

    对 Web 开发生命周期的一般了解 具有 Web 应用程序开发、安全和测试方面的经验。

观众

    开发 人员 工程师 建筑师
  21 小时

人数



每位参与者的报价

客户评论 (1)

相关课程

Java and Web Application Security

  21 小时

Advanced Java Security

  21 小时

Advanced Java, JEE and Web Application Security

  28 小时

Comprehensive C# and .NET Application Security

  21 小时

Advanced C#, ASP.NET and Web Application Security

  21 小时

课程分类