課程簡介

介紹

探索 OWASP 測試專案

  • 測試原理
  • 測試技術
  • 派生安全測試要求
  • 在開發和測試工作流程中整合安全測試
  • 安全測試數據分析和報告

使用 OWASP 測試框架

  • 第1階段:開發開始前
  • 第 2 階段:在定義和設計期間
  • 第3階段:開發期間
  • 第4階段:部署期間
  • 第 5 階段:維護和運營
  • 典型的生命周期測試工作流程
  • 滲透測試方法

測試 Web 應用程式安全性

  • 導言和目標
  • 資訊收集
  • 對資訊洩露進行搜尋引擎發現和偵察
  • 指紋 Web 伺服器
  • 檢查 Web 伺服器圖元檔是否存在信息洩露
  • 枚舉 Web 伺服器上的應用程式
  • 查看網頁內容是否存在信息洩露
  • 確定應用程式入口點
  • 通過應用程式映射執行路徑
  • 指紋 Web 應用程式框架
  • 指紋 Web 應用程式
  • 地圖應用程式體系結構
  • 配置和部署管理測試
  • 測試網路/基礎結構配置
  • 測試應用程式平臺配置
  • 測試敏感資訊的檔擴展名處理
  • 查看舊檔、備份檔和未引用檔中的敏感資訊
  • 枚舉基礎結構和應用程式管理介面
  • 測試 HTTP 方法
  • 測試 HTTP 嚴格傳輸安全性
  • 測試 RIA 跨域策略
  • 測試文件許可權
  • 測試子域接管
  • 測試雲存儲

身份 Management 測試

  • 測試角色定義
  • 測試用戶註冊過程
  • 測試帳戶預配過程
  • 測試帳戶枚舉和可猜測的用戶帳戶
  • 測試弱使用者名策略或未強制執行的使用者名策略

身份驗證測試

  • 測試通過加密通道傳輸的憑據
  • 測試預設憑據
  • 測試弱鎖定機制
  • 測試繞過身份驗證架構
  • 測試易受攻擊的記憶密碼
  • 測試瀏覽器快取弱點
  • 測試弱密碼策略
  • 測試弱安全問題答案
  • 測試弱密碼更改或重置功能
  • 測試備用通道中較弱的身份驗證

授權測試

  • 測試目錄遍曆/檔包含
  • 測試繞過授權架構
  • 測試許可權提升
  • 測試不安全的直接物件引用

會話 Management 測試

  • 測試會話管理架構
  • 測試 Cookie 屬性
  • 測試會話固定
  • 測試公開的會話變數
  • 測試跨網站請求偽造
  • 測試註銷功能
  • 測試會話超時
  • 測試會話困惑
  • 測試會話劫持

輸入驗證測試

  • 測試反射式跨網站腳本
  • 測試存儲的跨網站腳本
  • 測試 HTTP 謂詞篡改
  • 測試 HTTP 參數污染
  • 測試 SQL 注入
  • 針對 Oracle 的測試
  • MySQL測試
  • 針對 SQL Server 進行測試
  • PostgreSQL 測試
  • MS Access 測試
  • 測試 NoSQL 注入
  • ORM注入測試
  • 客戶端測試
  • LDAP注入測試
  • XML 注入測試
  • SSI注射檢測
  • XPath注射試驗
  • IMAP/SMTP 注入測試
  • 代碼注入測試
  • 測試本地檔包含
  • 測試遠端檔包含
  • 測試命令注入
  • 格式字串注入測試
  • 測試潛伏漏洞
  • 測試 HTTP 分割/走私
  • 測試 HTTP 傳入請求
  • 測試主機標頭注入
  • 測試伺服器端範本注入
  • 測試伺服器端請求偽造

錯誤處理測試

  • 測試錯誤處理不當
  • 測試堆疊跟蹤

測試弱加密

  • 測試弱傳輸層安全性
  • 填充測試Oracle
  • 測試通過未加密通道發送的敏感資訊
  • 測試弱加密

Business 邏輯測試

  • 業務邏輯簡介
  • 測試業務邏輯數據驗證
  • 測試偽造請求的能力
  • 測試完整性檢查
  • 測試過程時序
  • 測試函數可以使用限制的次數
  • 測試工作流的規避
  • 測試針對應用程式濫用的防禦措施
  • 測試意外檔類型的上傳
  • 測試惡意檔的上傳

客戶端測試

  • 測試基於 DOM 的跨網站腳本
  • 測試 JavaScript 執行
  • HTML 注入測試
  • 測試用戶端 URL 重定向
  • CSS 注入測試
  • 測試客戶端資源操作
  • 測試跨域資源分享
  • 跨網站刷機測試
  • 測試點擊劫持
  • 測試 WebSocket
  • 測試 Web 消息傳遞
  • 測試瀏覽器存儲
  • 測試跨網站腳本包含

API Testing

  • 測試 GraphQL

報告

  • 介紹
  • 摘要
  • 發現
  • 附錄

最低要求

    對 Web 開發生命週期的一般瞭解 具有 Web 應用程式開發、安全和測試方面的經驗。

觀眾

    開發人員 工程師 建築師
  21 時間:
 

人數


開始於

結束於


Dates are subject to availability and take place between 09:30 and 16:30.
Open Training Courses require 5+ participants.

客戶評論 (1)

相關課程

Java and Web Application Security

  21 時間:

Advanced Java Security

  21 時間:

Advanced Java, JEE and Web Application Security

  28 時間:

Comprehensive C# and .NET Application Security

  21 時間:

Advanced C#, ASP.NET and Web Application Security

  21 時間:

課程分類