Programa do Curso

Introdução

Explorar o projeto OWASP Testing

  • Princípios dos testes
  • Técnicas de teste
  • Derivação dos requisitos dos testes de segurança
  • Testes de segurança integrados nos fluxos de trabalho de desenvolvimento e teste
  • Análise de dados de testes de segurança e elaboração de relatórios

Trabalhar com o Quadro de Testes OWASP

  • Fase 1: Antes do início do desenvolvimento
  • Fase 2: Durante a definição e o projeto
  • Fase 3: Durante o desenvolvimento
  • Fase 4: Durante a implantação
  • Fase 5: Manutenção e operações
  • Um fluxo de trabalho típico de testes de ciclo de vida
  • Metodologias de teste de penetração

Testes na Web Application Security

  • Introdução e objectivos
  • Recolha de informações
  • Descoberta de motores de busca e reconhecimento de fugas de informação
  • Impressão digital do servidor Web
  • Rever os meta-arquivos do servidor Web para detetar fugas de informação
  • Enumerar as aplicações no servidor Web
  • Analisar o conteúdo das páginas Web para detetar fugas de informação
  • Identificar pontos de entrada da aplicação
  • Mapear caminhos de execução através da aplicação
  • Identificar a estrutura da aplicação web
  • Impressão digital da aplicação web
  • Mapear a arquitetura da aplicação
  • Testes de gestão da configuração e da implantação
  • Testar a configuração da rede/infraestrutura
  • Testar a configuração da plataforma da aplicação
  • Testar o tratamento de extensões de ficheiros para informações sensíveis
  • Rever ficheiros antigos, de cópia de segurança e não referenciados para informações sensíveis
  • Enumerar interfaces de administração de infra-estruturas e aplicações
  • Testar métodos HTTP
  • Testar a segurança rigorosa do transporte HTTP
  • Testar a política de domínio cruzado RIA
  • Testar a permissão de ficheiros
  • Testar a tomada de controlo de subdomínios
  • Testar o armazenamento na nuvem

Identidade Management Teste

  • Testar definições de funções
  • Teste do processo de registo de utilizadores
  • Teste do processo de aprovisionamento de contas
  • Teste da enumeração de contas e de contas de utilizador adivinháveis
  • Teste da política de nome de utilizador fraca ou não aplicada

Teste de autenticação

  • Teste de credenciais transportadas através de um canal encriptado
  • Teste de credenciais padrão
  • Teste de mecanismo de bloqueio fraco
  • Teste para contornar o esquema de autenticação
  • Teste de memorização de palavra-passe vulnerável
  • Teste para detetar fraquezas na cache do browser
  • Teste para política de palavra-passe fraca
  • Teste para resposta fraca à pergunta de segurança
  • Teste de funcionalidades fracas de alteração ou reposição da palavra-passe
  • Teste para autenticação mais fraca em canal alternativo

Teste de autorização

  • Teste de passagem de diretório/arquivo include
  • Teste para contornar o esquema de autorização
  • Teste de escalonamento de privilégios
  • Teste de referências diretas a objectos inseguros

Teste de sessão Management

  • Teste do esquema de gestão de sessões
  • Teste para atributos de cookies
  • Teste para fixação de sessão
  • Teste para variáveis de sessão expostas
  • Teste de falsificação de pedidos entre sítios
  • Teste da funcionalidade de logout
  • Teste do tempo limite da sessão
  • Teste de confusão de sessões
  • Teste de sequestro de sessão

Teste de validação de entrada

  • Teste de scripting refletido entre sítios
  • Teste de scripts armazenados entre sítios
  • Ensaio de adulteração de verbos HTTP
  • Teste de poluição de parâmetros HTTP
  • Testes de injeção SQL
  • Teste para Oracle
  • Teste para MySQL
  • Teste do servidor SQL
  • Teste para PostgreSQL
  • Teste para MS Access
  • Teste para injeção de NoSQL
  • Teste para injeção ORM
  • Teste para o lado do cliente
  • Teste para injeção LDAP
  • Teste para injeção XML
  • Testes para injeção SSI
  • Testes para injeção XPath
  • Testes para injeção de IMAP/SMTP
  • Teste para injeção de código
  • Testes para inclusão de ficheiros locais
  • Testes para inclusão de ficheiros remotos
  • Teste para injeção de comandos
  • Teste para injeção de cadeia de formato
  • Teste para vulnerabilidade incubada
  • Teste para divisão/contrabando de HTTP
  • Teste para pedidos de entrada HTTP
  • Teste para injeção de cabeçalho de anfitrião
  • Teste para injeção de modelo do lado do servidor
  • Teste para falsificação de pedido do lado do servidor

Testes de tratamento de erros

  • Teste para deteção de tratamento incorreto de erros
  • Teste de traços de pilha

Teste para Cryptography fraco

  • Teste de segurança fraca da camada de transporte
  • Teste de preenchimento Oracle
  • Teste para informações sensíveis enviadas através de canais não encriptados
  • Testes para deteção de encriptação fraca

Business Teste de lógica

  • Introdução à lógica comercial
  • Teste da validação de dados da lógica comercial
  • Testar a capacidade de falsificar pedidos
  • Testar verificações de integridade
  • Testar o tempo do processo
  • Testar os limites do número de vezes que uma função pode ser utilizada
  • Testar a evasão de fluxos de trabalho
  • Testar as defesas contra a utilização incorrecta da aplicação
  • Teste de carregamento de tipos de ficheiros inesperados
  • Teste de carregamento de ficheiros maliciosos

Testes do lado do cliente

  • Teste de scripts entre sítios baseados em DOM
  • Teste de execução JavaScript
  • Teste de injeção HTML
  • Teste de redireccionamento de URL do lado do cliente
  • Teste para injeção de CSS
  • Testes de manipulação de recursos do lado do cliente
  • Teste da partilha de recursos entre origens
  • Teste de intermitência entre sítios
  • Teste de clickjacking
  • Teste de WebSockets
  • Teste de mensagens da web
  • Teste do armazenamento no navegador
  • Testes de inclusão de scripts entre sítios

API Testing

  • Testes GraphQL

Relatórios

  • Introdução
  • Resumo executivo
  • Conclusões
  • Apêndices

Requisitos

    Conhecimento geral do ciclo de vida do desenvolvimento Web Experiência em desenvolvimento, segurança e testes de aplicações Web.

Público

    Promotores Engenheiros Arquitectos
 21 horas

Número de participantes


Preço por participante

Declaração de Clientes (7)

Próximas Formações Provisórias

Categorias Relacionadas