SQA-043 Тестирование защищенности веб-приложений

Изучите основные способы атак и методы тестирования по версии OWASP.

На тренинге рассматриваются общие принципы компрометации защиты веб-приложений и отдельные распространенные виды уязвимостей из списка OWASP TOP 10, а также будет продемонстрирован поиск уязвимостей в различных приложениях, примеры обнаружения уязвимостей по косвенным признакам. Также в рамках практической части тренинга рассматривается методика составления тестовых сценариев для тестирования системы на предмет обнаружения различных типов уязвимостей.

• ТЗ: Что тестрируем?
• Почему это проблема?
• Уязвимости веб-приложений
• Протокол HTTP
• A1 – Broken Access Control
• A2 – Cryptographic Failures
• A3 – Injection
• A4 – InSECURE DESIGN
• A5 – SECURITY MISCONFIGURATION
• A6 – Vulnerable and Outdated Components
• A7 – Identification and Authentication Failures
• A8 – Software and Data Integrity Failures
• A9 – Security Logging and Monitoring Failures
• A3 – injections (XSS)
• Cross-Site Request Forgery (CSRF)
• A10 – SERVER SIDE REQUEST FORGERY
• SOAP API и JSON API
• REST API
• Общий план тестирования
• Поиск уязвимостей в различных веб-приложениях.
• Составление тестовых сценариев для выявления уязвимостей.
• Анализ косвенных признаков уязвимостей.
• Применение инструментов для тестирования защищенности.