Thank you for sending your enquiry! One of our team members will contact you shortly.
Thank you for sending your booking! One of our team members will contact you shortly.
Course Outline
Invoering
Het verkennen van het OWASP testproject
- Principes van testen
- Testtechnieken
- Het afleiden van beveiligingstestvereisten
- Beveiligingstests geïntegreerd in ontwikkelings- en testworkflows
- Analyse en rapportage van beveiligingstestgegevens
Werken met het OWASP Testframework
- Fase 1: Voordat de ontwikkeling begint
- Fase 2: Tijdens definitie en ontwerp
- Fase 3: Tijdens de ontwikkeling
- Fase 4: Tijdens de implementatie
- Fase 5: Onderhoud en exploitatie
- Een typische workflow voor het testen van de levenscyclus
- Methodologieën voor penetratietesten
Het testen van de beveiliging van de webapplicatie
- Inleiding en doelstellingen
- Informatie verzamelen
- Voer zoekopdrachten en verkenningen uit via zoekmachines om informatielekken op te sporen
- Vingerafdruk webserver
- Controleer de metabestanden van de webserver op informatielekken
- Applicaties op de webserver inventariseren
- Controleer de inhoud van webpagina's op informatielekken
- Identificeer toegangspunten voor applicaties
- Breng uitvoeringspaden via de applicatie in kaart
- Framework voor webapplicaties met vingerafdrukken
- Vingerafdruk webapplicatie
- Applicatiearchitectuur in kaart brengen
- Testen van configuratie- en implementatiebeheer
- Test netwerk-/infrastructuurconfiguratie
- Configuratie van applicatieplatform testen
- Test hoe bestandsextensies omgaan met gevoelige informatie
- Controleer oude bestanden, back-upbestanden en bestanden zonder referenties op gevoelige informatie
- Infrastructuur- en applicatiebeheerinterfaces inventariseren
- Test HTTP-methoden
- Test HTTP-strikte transportbeveiliging
- Test het RIA-domeinoverschrijdende beleid
- Bestandsrechten testen
- Test op overname van subdomein
- Test cloudopslag
Identity Management Testen
- Roldefinities testen
- Test het registratieproces van gebruikers
- Proces voor het inrichten van accounts testen
- Testen op accountopsomming en raadbare gebruikersaccounts
- Testen op zwak of niet-afgedwongen gebruikersnaambeleid
Authenticatie testen
- Testen op inloggegevens die via een gecodeerd kanaal worden verzonden
- Testen op standaardreferenties
- Testen op zwak vergrendelingsmechanisme
- Testen voor het omzeilen van het authenticatieschema
- Testen op kwetsbaar wachtwoord onthouden
- Testen op zwakte van de browsercache
- Testen op zwak wachtwoordbeleid
- Testen op zwak antwoord op beveiligingsvraag
- Testen op zwakke wachtwoordwijzigings- of resetfunctionaliteiten
- Testen op zwakkere authenticatie in alternatief kanaal
Autorisatie testen
- Testen van directory traversal/file include
- Testen voor het omzeilen van het autorisatieschema
- Testen op escalatie van bevoegdheden
- Testen op onveilige directe objectreferenties
Sessie Management Testen
- Testen voor sessiebeheerschema
- Testen op cookieskenmerken
- Testen op sessiefixatie
- Testen op blootgestelde sessievariabelen
- Testen op vervalsing van verzoeken op meerdere sites
- Testen op uitlogfunctionaliteit
- Time-out van testsessie
- Testen voor sessiepuzzelen
- Testen op sessiekaping
Invoervalidatietesten
- Testen op gereflecteerde cross-site scripting
- Testen voor opgeslagen cross-site scripting
- Testen op manipulatie van HTTP-werkwoorden
- Testen op vervuiling van HTTP-parameters
- Testen voor SQL injectie
- Testen voor Oracle
- Testen voor MySQL
- Testen voor SQL-server
- Testen voor PostgreSQL
- Testen op MS Access
- Testen voor NoSQL injectie
- Testen voor ORM-injectie
- Testen voor clientzijde
- Testen voor LDAP injectie
- Testen voor XML injectie
- Testen op SSI-injectie
- Testen voor XPath injectie
- Testen voor IMAP/SMTP-injectie
- Testen voor code-injectie
- Testen voor lokale bestandsopname
- Testen voor het op afstand opnemen van bestanden
- Testen voor commando-injectie
- Testen voor injectie van formaattekenreeksen
- Testen op geïncubeerde kwetsbaarheid
- Testen op HTTP-splitsing/-smokkel
- Testen op binnenkomende HTTP-aanvragen
- Testen voor injectie van hostheaders
- Testen voor sjablooninjectie op de server
- Testen op vervalsing van verzoeken aan de serverzijde
Testen op foutafhandeling
- Testen op onjuiste foutafhandeling
- Testen op stacktraces
Testen op zwakke cryptografie
- Testen op zwakke Transport Layer Security
- Testen op opvulling Oracle
- Testen op gevoelige informatie verzonden via niet-gecodeerde kanalen
- Testen op zwakke codering
Business Logicatesten
- Inleiding tot bedrijfslogica
- Test de validatie van bedrijfslogicagegevens
- Test de mogelijkheid om verzoeken te vervalsen
- Test integriteitscontroles
- Test voor procestiming
- Testlimieten voor het aantal keren dat een functie kan worden gebruikt
- Testen op het omzeilen van werkstromen
- Test de verdediging tegen misbruik van applicaties
- Test het uploaden van onverwachte bestandstypen
- Test het uploaden van kwaadaardige bestanden
Testen aan de klantzijde
- Testen voor DOM-gebaseerde cross-site scripting
- Testen voor JavaScriptuitvoering
- Testen voor HTML injectie
- Testen op URL-omleiding aan de clientzijde
- Testen voor CSS injectie
- Testen op manipulatie van bronnen aan de clientzijde
- Cross-origine delen van bronnen testen
- Testen op cross-site flashen
- Testen op clickjacking
- WebSockets testen
- Webberichten testen
- Browseropslag testen
- Testen op opname van cross-site scripts
API Testing
- Testen GraphQL
Rapportage
- Invoering
- Managementsamenvatting
- Bevindingen
- Bijlagen
Requirements
- Een algemeen begrip van de levenscyclus van webontwikkeling. Ervaring met het ontwikkelen, beveiligen en testen van webapplicaties.
Publiek
- Ontwikkelaars Ingenieurs Architecten
21 Hours
Getuigenissen (1)
Live zien van de daadwerkelijke implementatie van acties met behulp van voorbeeldtools voor het testen / kraken van applicatiebeveiliging.
Paweł - Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy
Cursus - Web Security with the OWASP Testing Framework
Machine Translated