Course Outline

Invoering

Het verkennen van het OWASP testproject

  • Principes van testen
  • Testtechnieken
  • Het afleiden van beveiligingstestvereisten
  • Beveiligingstests geïntegreerd in ontwikkelings- en testworkflows
  • Analyse en rapportage van beveiligingstestgegevens

Werken met het OWASP Testframework

  • Fase 1: Voordat de ontwikkeling begint
  • Fase 2: Tijdens definitie en ontwerp
  • Fase 3: Tijdens de ontwikkeling
  • Fase 4: Tijdens de implementatie
  • Fase 5: Onderhoud en exploitatie
  • Een typische workflow voor het testen van de levenscyclus
  • Methodologieën voor penetratietesten

Het testen van de beveiliging van de webapplicatie

  • Inleiding en doelstellingen
  • Informatie verzamelen
  • Voer zoekopdrachten en verkenningen uit via zoekmachines om informatielekken op te sporen
  • Vingerafdruk webserver
  • Controleer de metabestanden van de webserver op informatielekken
  • Applicaties op de webserver inventariseren
  • Controleer de inhoud van webpagina's op informatielekken
  • Identificeer toegangspunten voor applicaties
  • Breng uitvoeringspaden via de applicatie in kaart
  • Framework voor webapplicaties met vingerafdrukken
  • Vingerafdruk webapplicatie
  • Applicatiearchitectuur in kaart brengen
  • Testen van configuratie- en implementatiebeheer
  • Test netwerk-/infrastructuurconfiguratie
  • Configuratie van applicatieplatform testen
  • Test hoe bestandsextensies omgaan met gevoelige informatie
  • Controleer oude bestanden, back-upbestanden en bestanden zonder referenties op gevoelige informatie
  • Infrastructuur- en applicatiebeheerinterfaces inventariseren
  • Test HTTP-methoden
  • Test HTTP-strikte transportbeveiliging
  • Test het RIA-domeinoverschrijdende beleid
  • Bestandsrechten testen
  • Test op overname van subdomein
  • Test cloudopslag

Identity Management Testen

  • Roldefinities testen
  • Test het registratieproces van gebruikers
  • Proces voor het inrichten van accounts testen
  • Testen op accountopsomming en raadbare gebruikersaccounts
  • Testen op zwak of niet-afgedwongen gebruikersnaambeleid

Authenticatie testen

  • Testen op inloggegevens die via een gecodeerd kanaal worden verzonden
  • Testen op standaardreferenties
  • Testen op zwak vergrendelingsmechanisme
  • Testen voor het omzeilen van het authenticatieschema
  • Testen op kwetsbaar wachtwoord onthouden
  • Testen op zwakte van de browsercache
  • Testen op zwak wachtwoordbeleid
  • Testen op zwak antwoord op beveiligingsvraag
  • Testen op zwakke wachtwoordwijzigings- of resetfunctionaliteiten
  • Testen op zwakkere authenticatie in alternatief kanaal

Autorisatie testen

  • Testen van directory traversal/file include
  • Testen voor het omzeilen van het autorisatieschema
  • Testen op escalatie van bevoegdheden
  • Testen op onveilige directe objectreferenties

Sessie Management Testen

  • Testen voor sessiebeheerschema
  • Testen op cookieskenmerken
  • Testen op sessiefixatie
  • Testen op blootgestelde sessievariabelen
  • Testen op vervalsing van verzoeken op meerdere sites
  • Testen op uitlogfunctionaliteit
  • Time-out van testsessie
  • Testen voor sessiepuzzelen
  • Testen op sessiekaping

Invoervalidatietesten

  • Testen op gereflecteerde cross-site scripting
  • Testen voor opgeslagen cross-site scripting
  • Testen op manipulatie van HTTP-werkwoorden
  • Testen op vervuiling van HTTP-parameters
  • Testen voor SQL injectie
  • Testen voor Oracle
  • Testen voor MySQL
  • Testen voor SQL-server
  • Testen voor PostgreSQL
  • Testen op MS Access
  • Testen voor NoSQL injectie
  • Testen voor ORM-injectie
  • Testen voor clientzijde
  • Testen voor LDAP injectie
  • Testen voor XML injectie
  • Testen op SSI-injectie
  • Testen voor XPath injectie
  • Testen voor IMAP/SMTP-injectie
  • Testen voor code-injectie
  • Testen voor lokale bestandsopname
  • Testen voor het op afstand opnemen van bestanden
  • Testen voor commando-injectie
  • Testen voor injectie van formaattekenreeksen
  • Testen op geïncubeerde kwetsbaarheid
  • Testen op HTTP-splitsing/-smokkel
  • Testen op binnenkomende HTTP-aanvragen
  • Testen voor injectie van hostheaders
  • Testen voor sjablooninjectie op de server
  • Testen op vervalsing van verzoeken aan de serverzijde

Testen op foutafhandeling

  • Testen op onjuiste foutafhandeling
  • Testen op stacktraces

Testen op zwakke cryptografie

  • Testen op zwakke Transport Layer Security
  • Testen op opvulling Oracle
  • Testen op gevoelige informatie verzonden via niet-gecodeerde kanalen
  • Testen op zwakke codering

Business Logicatesten

  • Inleiding tot bedrijfslogica
  • Test de validatie van bedrijfslogicagegevens
  • Test de mogelijkheid om verzoeken te vervalsen
  • Test integriteitscontroles
  • Test voor procestiming
  • Testlimieten voor het aantal keren dat een functie kan worden gebruikt
  • Testen op het omzeilen van werkstromen
  • Test de verdediging tegen misbruik van applicaties
  • Test het uploaden van onverwachte bestandstypen
  • Test het uploaden van kwaadaardige bestanden

Testen aan de klantzijde

  • Testen voor DOM-gebaseerde cross-site scripting
  • Testen voor JavaScriptuitvoering
  • Testen voor HTML injectie
  • Testen op URL-omleiding aan de clientzijde
  • Testen voor CSS injectie
  • Testen op manipulatie van bronnen aan de clientzijde
  • Cross-origine delen van bronnen testen
  • Testen op cross-site flashen
  • Testen op clickjacking
  • WebSockets testen
  • Webberichten testen
  • Browseropslag testen
  • Testen op opname van cross-site scripts

API Testing

  • Testen GraphQL

Rapportage

  • Invoering
  • Managementsamenvatting
  • Bevindingen
  • Bijlagen

Requirements

    Een algemeen begrip van de levenscyclus van webontwikkeling. Ervaring met het ontwikkelen, beveiligen en testen van webapplicaties.

Publiek

    Ontwikkelaars Ingenieurs Architecten
  21 Hours

Getuigenissen (1)

Related Courses

CRISC - Certified in Risk and Information Systems Control

  21 Hours

Cloud Computing Security Knowledge (CCSK) Preparation Course

  21 Hours

Standard Java Security

  14 Hours

Java and Web Application Security

  21 Hours

Advanced Java Security

  21 Hours

Advanced Java, JEE and Web Application Security

  28 Hours

.NET, C# and ASP.NET Security Development

  14 Hours

Related Categories