Thank you for sending your enquiry! One of our team members will contact you shortly.
Thank you for sending your booking! One of our team members will contact you shortly.
課程簡介
介紹
探索 OWASP 測試專案
- 測試原則
- 測試技術
- 推導安全測試要求
- 集成在開發和測試工作流程中的安全測試
- 安全測試數據分析和報告
使用 OWASP 測試框架
- 第1階段:開發開始前
- 第 2 階段:在定義和設計期間
- 第 3 階段:開發過程中
- 階段 4:部署期間
- 第 5 階段:維護和運營
- 典型的生命周期測試工作流程
- 滲透測試方法
測試 Web Application Security
- 簡介和目標
- 資訊收集
- 對資訊洩露進行搜尋引擎發現和偵察
- 指紋 Web 伺服器
- 檢查 Web 伺服器元檔是否存在信息洩露
- 枚舉 Web 伺服器上的應用程式
- 查看網頁內容是否有信息洩露
- 確定應用程式入口點
- 通過應用程式映射執行路徑
- 指紋 Web 應用程式框架
- 指紋 Web 應用程式
- 映射應用程式體系結構
- 配置和部署管理測試
- 測試網路 / 基礎設施配置
- 測試應用程式平臺配置
- 測試敏感資訊的檔擴展名處理
- 查看舊檔、備份檔和未引用的檔中的敏感資訊
- 列舉基礎架構和應用程式管理介面
- 測試 HTTP 方法
- 測試 HTTP 嚴格傳輸安全性
- 測試 RIA 跨域策略
- 測試文件許可權
- 測試子域接管
- 測試雲存儲
身份 Management 測試
- 測試角色定義
- 測試用戶註冊流程
- 測試賬戶預置流程
- 測試帳戶枚舉和可猜測的用戶帳戶
- 測試弱使用者名策略或未執行的使用者名策略
身份驗證測試
- 測試通過加密通道傳輸的憑證
- 測試預設憑據
- 測試弱鎖定機制
- 測試繞過身份驗證架構
- 測試易受攻擊的 Remember password
- 測試瀏覽器快取弱點
- 測試弱口令策略
- 測試弱安全問題答案
- 測試弱密碼更改或重置功能
- 在備用通道中測試較弱的身份驗證
授權測試
- 測試目錄遍曆/檔包含
- 測試繞過授權架構
- 測試許可權提升
- 測試不安全的直接物件引用
會話 Management 測試
- 測試會話管理架構
- 測試 Cookie 屬性
- 會話固定測試
- 測試公開的會話變數
- 測試跨網站請求偽造
- 測試註銷功能
- 測試會話超時
- 測試會話謎題
- 測試會話劫持
輸入驗證測試
- 測試反射式跨站腳本
- 測試存儲的跨網站腳本
- 測試 HTTP 動詞篡改
- 測試 HTTP 參數污染
- SQL 注射液測試
- 測試 Oracle
- 測試 MySQL
- 測試 SQL 伺服器
- 測試 PostgreSQL
- MS 檢測 Access
- NoSQL 注射液測試
- ORM 注射測試
- 客戶端測試
- LDAP 注射液測試
- XML 注射液測試
- SSI 注射測試
- XPath 注射試驗
- 測試 IMAP/SMTP 注入
- 代碼注入測試
- 測試本地檔包含
- 測試遠端檔包含
- 測試命令注入
- 測試格式字串注入
- 測試孵化漏洞
- 測試 HTTP 分割/走私
- 測試 HTTP 傳入請求
- 測試主機標頭注入
- 伺服器端範本注入測試
- 伺服器端請求偽造測試
錯誤處理測試
- 測試不正確的錯誤處理
- 測試堆疊跟蹤
弱 Crypto 繪圖測試
- 測試弱傳輸層安全性
- 填充測試 Oracle
- 測試通過未加密通道發送的敏感資訊
- 弱加密測試
Business 邏輯測試
- 業務邏輯簡介
- 測試業務邏輯數據驗證
- 測試偽造請求的能力
- 測試完整性檢查
- 測試進程計時
- 測試函數可以使用限制的次數
- 規避工作流程的測試
- 測試應用程式濫用的防禦措施
- 測試上傳意外檔類型
- 測試上傳惡意檔
客戶端測試
- 測試基於 DOM 的跨網站腳本
- 測試 JavaScript 執行
- HTML 注射液測試
- 測試用戶端 URL 重定向
- CSS 注射液測試
- 測試客戶端資源操作
- 測試跨域資源分享
- 測試跨網站刷寫
- 點擊劫持測試
- 測試 WebSockets
- 測試 Web 消息傳遞
- 測試瀏覽器存儲
- 測試跨網站腳本包含
API Testing
- 測試 GraphQL
報告
- 介紹
- 摘要
- 發現
- 附錄
最低要求
-
對 Web 開發生命週期的一般瞭解
具有 Web 應用程式開發、安全和測試方面的經驗。
觀眾
-
開發人員
工程師
建築師
21 時間:
客戶評論 (7)
與實際示例相關的主題的複雜方法,所有這些都與培訓師的精力和豐富的經驗一起。
Ihor - Osrodek Przetwarzania Informacji - Panstwowy Instytut Badawczy
Course - Web Security with the OWASP Testing Framework
機器翻譯
我發現整個 OWASP 課程內容豐富且結構合理。如果我必須選擇一個最突出的方面,我會說它是 Web 安全漏洞的覆蓋範圍和顯示的實際範例。該課程説明我瞭解如何使用不同的工具在各種場景中應用 owasp 概念
Piotr - Osrodek Przetwarzania Informacji - Panstwowy Instytut Badawczy
Course - Web Security with the OWASP Testing Framework
機器翻譯
* great live-demos * good pacing * good intro to security testing
Robert McClure - EUROPOL
Course - Web Security with the OWASP Testing Framework
the content and the knowledge of the trainer
Bogdan Birou - EUROPOL
Course - Web Security with the OWASP Testing Framework
Great and relevant examples, good speed, good excercises. Highly recommended!
Istvan Visegradi - EUROPOL
Course - Web Security with the OWASP Testing Framework
Very skilled and likable trainer. Interesting topics and real life examples.
Jon Lunde - Buypass AS
Course - Web Security with the OWASP Testing Framework
Demos and exercises
