SQA-043 Тестирование защищенности веб-приложений

Изучите основные способы атак и методы тестирования по версии OWASP. На тренинге рассматриваются общие принципы компрометации защиты веб-приложений и отдельные распространённые виды уязвимостей из списка OWASP TOP 10. Также будет продемонстрирован поиск уязвимостей в различных приложениях и примеры их обнаружения по косвенным признакам. В рамках практической части тренинга также рассматривается методика составления тестовых сценариев для тестирования системы на предмет выявления различных типов уязвимостей.

ТЗ:

• Что тестируем?
• Почему это проблема?

Уязвимости веб-приложений:

• Протокол HTTP
• A1 – Broken Access Control
• A2 – Cryptographic Failures
• A3 – Injection
• A4 – InSECURE DESIGN
• A5 – SECURITY MISCONFIGURATION
• A6 – Vulnerable and Outdated Components
• A7 – Identification and Authentication Failures
• A8 – Software and Data Integrity Failures
• A9 – Security Logging and Monitoring Failures
• A3 – injections (XSS)
• Cross-Site Request Forgery (CSRF)
• A10 – SERVER SIDE REQUEST FORGERY

SOAP API и JSON API REST API

Общий план тестирования:

• Поиск уязвимостей в различных веб-приложениях.
• Составление тестовых сценариев для выявления уязвимостей.
• Анализ косвенных признаков уязвимостей.
• Применение инструментов для тестирования защищенности.