Programa del Curso

Introducción

Explorando el proyecto de pruebas OWASP

  • Principios de las pruebas
  • Técnicas de ensayo
  • Derivación de los requisitos de las pruebas de seguridad
  • Pruebas de seguridad integradas en flujos de trabajo de desarrollo y pruebas
  • Análisis e informes de datos de pruebas de seguridad

Trabajar con el OWASP marco de pruebas

  • Fase 1: Antes de que comience el desarrollo
  • Fase 2: Durante la definición y el diseño
  • Fase 3: Durante el desarrollo
  • Fase 4: Durante la implementación
  • Fase 5: Mantenimiento y operaciones
  • Un flujo de trabajo típico de pruebas de ciclo de vida
  • Metodologías de pruebas de penetración

Probar la seguridad de la aplicación web

  • Introducción y objetivos
  • Recopilación de información
  • Llevar a cabo el descubrimiento y el reconocimiento de los motores de búsqueda para detectar fugas de información
  • Servidor web de huellas dactilares
  • Revise los metarchivos del servidor web para detectar fugas de información
  • Enumerar aplicaciones en el servidor web
  • Revisar el contenido de la página web en busca de fugas de información
  • Identificación de los puntos de entrada de la aplicación
  • Asignación de rutas de ejecución a través de la aplicación
  • Marco de aplicación web de huellas dactilares
  • Aplicación web de huellas dactilares
  • Arquitectura de aplicaciones de mapas
  • Pruebas de administración de configuración e implementación
  • Probar la configuración de la red/infraestructura
  • Probar la configuración de la plataforma de aplicaciones
  • Pruebe el manejo de extensiones de archivo para información confidencial
  • Revise los archivos antiguos, de copia de seguridad y sin referencia en busca de información confidencial
  • Enumeración de la infraestructura y las interfaces de administración de aplicaciones
  • Probar métodos HTTP
  • Probar la seguridad de transporte estricta de HTTP
  • Probar la directiva de dominios cruzados de RIA
  • Permiso de archivo de prueba
  • Prueba de adquisición de subdominios
  • Probar el almacenamiento en la nube

Pruebas de identidad Management

  • Definiciones de roles de prueba
  • Proceso de registro de usuario de prueba
  • Proceso de aprovisionamiento de cuentas de prueba
  • Pruebas para la enumeración de cuentas y la cuenta de usuario adivinable
  • Comprobación de la política de nombre de usuario débil o no aplicada

Pruebas de autenticación

  • Comprobación de credenciales transportadas a través de un canal cifrado
  • Comprobación de credenciales predeterminadas
  • Pruebas de mecanismo de bloqueo débil
  • Pruebas para omitir el esquema de autenticación
  • Pruebas de contraseña de recordatorio vulnerable
  • Pruebas de debilidad de la caché del navegador
  • Comprobación de la política de contraseñas débiles
  • Pruebas de respuestas débiles a preguntas de seguridad
  • Pruebas de funcionalidades débiles de cambio o restablecimiento de contraseñas
  • Pruebas de autenticación más débil en un canal alternativo

Pruebas de autorización

  • Probando el recorrido del directorio/archivo include
  • Pruebas para omitir el esquema de autorización
  • Pruebas de escalada de privilegios
  • Comprobación de referencias directas a objetos no seguras

Sesión Management Pruebas

  • Pruebas para el esquema de administración de sesiones
  • Comprobación de los atributos de las cookies
  • Pruebas de fijación de la sesión
  • Pruebas de variables de sesión expuestas
  • Pruebas de falsificación de solicitudes entre sitios
  • Pruebas de la funcionalidad de cierre de sesión
  • Tiempo de espera de la sesión de prueba
  • Pruebas de desconcierto de sesión
  • Pruebas de secuestro de sesión

Pruebas de validación de entrada

  • Pruebas de secuencias de comandos entre sitios reflejadas
  • Pruebas de secuencias de comandos entre sitios almacenadas
  • Pruebas de manipulación de verbos HTTP
  • Pruebas de contaminación de parámetros HTTP
  • Pruebas de inyección SQL
  • Pruebas para Oracle
  • Pruebas para MySQL
  • Pruebas para SQL Server
  • Pruebas para PostgreSQL
  • Pruebas de MS Access
  • Pruebas de inyección NoSQL
  • Pruebas para la inyección de ORM
  • Pruebas para el lado del cliente
  • Pruebas de inyección LDAP
  • Pruebas de inyección XML
  • Pruebas para la inyección de SSI
  • Pruebas para la inyección de XPath
  • Pruebas para la inyección de IMAP/SMTP
  • Pruebas de inyección de código
  • Pruebas para la inclusión de archivos locales
  • Pruebas de inclusión de archivos remotos
  • Pruebas para la inyección de comandos
  • Pruebas de inyección de cadenas de formato
  • Pruebas de vulnerabilidad incubada
  • Pruebas de división/contrabando HTTP
  • Pruebas de solicitudes entrantes HTTP
  • Pruebas para la inyección de encabezado de host
  • Pruebas para la inyección de plantillas del lado del servidor
  • Pruebas de falsificación de solicitudes del lado del servidor

Pruebas de control de errores

  • Pruebas para detectar el manejo inadecuado de errores
  • Pruebas de seguimientos de pila

Pruebas de criptografía débil

  • Pruebas de seguridad débil de la capa de transporte
  • Pruebas de relleno Oracle
  • Pruebas de información confidencial enviada a través de canales no cifrados
  • Pruebas de cifrado débil

Business Pruebas lógicas

  • Introducción a la lógica empresarial
  • Probar la validación de datos de lógica de negocios
  • Probar la capacidad de falsificar solicitudes
  • Comprobaciones de integridad de pruebas
  • Pruebe el tiempo del proceso
  • Límite del número de veces que se puede usar una función
  • Pruebas para la elusión de los flujos de trabajo
  • Probar las defensas contra el uso indebido de la aplicación
  • Probar la carga de tipos de archivos inesperados
  • Carga de prueba de archivos maliciosos

Pruebas del lado del cliente

  • Pruebas de secuencias de comandos entre sitios basadas en DOM
  • Pruebas de ejecución JavaScript
  • Pruebas de inyección HTML
  • Pruebas de redireccionamientode URL del lado del cliente
  • Pruebas para la inyección de CSS
  • Pruebas de manipulación de recursos del lado cliente
  • Prueba del uso compartido de recursos entre orígenes
  • Pruebas de tapajuntas entre sitios
  • Pruebas de clickjacking
  • Prueba de WebSockets
  • Prueba de la mensajería web
  • Probar el almacenamiento del navegador
  • Pruebas de inclusión de scripts entre sitios

API Testing

  • Pruebas GraphQL

Informes

  • Introducción
  • Resumen ejecutivo
  • Resultados
  • Apéndices

Requerimientos

    Una comprensión general del ciclo de vida del desarrollo web Experiencia en desarrollo, seguridad y pruebas de aplicaciones web.

Audiencia

    Desarrolladores Ingenieros Arquitectos
  21 horas
 

Número de participantes


Comienza

Termina


Las fechas están sujetas a disponibilidad y tienen lugar entre 09:30 y 16:30.
Los cursos de formación abiertos requieren más de 5 participantes.

Testimonios (1)

Cursos Relacionados

Certificado en Control de Riesgos y Sistemas de Información (CRISC)

  21 horas

Microsoft SDL Core

  14 horas

Codificación Segura C / C ++

  21 horas

Seguridad Java Estándar

  14 horas

Seguridad de Aplicaciones Java y Web

  21 horas

Seguridad Java Avanzada

  21 horas

Avanzado Java, JEE y Seguridad de Aplicaciones Web

  28 horas

Desarrollo de Seguridad .NET, C # y ASP.NET

  14 horas

Integral de C# y .NET Seguridad de Aplicaciones

  21 horas

C#, ASP.NET Avanzado y Seguridad de Aplicaciones Web

  21 horas

Categorías Relacionadas