О чём курс
На тренинге рассматриваются общие принципы компрометации защиты веб-приложений и отдельные распространенные виды уязвимостей. А также будут продемонстрированы поиск уязвимостей в различных приложениях, примеры обнаружения уязвимостей по косвенным признакам.
Также в рамках практической части тренинга рассматривается методика составления тестовых сценариев для тестирования системы на предмет обнаружения различных типов уязвимостей.
Цели
Во время обучения слушатели:
получат знания об основных уязвимостях в веб-приложениях;
на реальных примерах увидят проблемы и ошибки в исходном коде приложения;
узнают возможные пути тестирования проблем и ошибок, нахождения их в приложениях.
Целевая аудитория
Инженеры по тестированию.
Предварительная подготовка
Знание основ web-технологий.
Начальные знания в разработке ПО или тестировании веб-приложений.
Для кого
Тестировщик
DevOps-инженер
Улучшаемые навыки
Безопасность веб-приложений
OWASP TOP 10
Тестирование уязвимостей
Клиент-серверные атаки
SOAP
REST
JSON API
Расписание курсов
Программа курса
01
Основные принципы компрометации веб-приложения
ТЗ: Что тестрируем?
Почему это проблема?
Уязвимости веб-приложений
Протокол HTTP
02
Уязвимости серверной части
A1 – Broken Access Control
A2 – Cryptographic Failures
A3 – Injection
A4 – InSECURE DESIGN
A5 – SECURITY MISCONFIGURATION
A6 – Vulnerable and Outdated Components
A7 – Identification and Authentication Failures
A8 – Software and Data Integrity Failures
A9 – Security Logging and Monitoring Failures
03
Уязвимости клиентской части
A3 – injections (XSS)
Cross-Site Request Forgery (CSRF)
A10 – SERVER SIDE REQUEST FORGERY
04
Тестирование API. Общий план
SOAP API и JSON API
REST API
Общий план тестирования
Поиск уязвимостей в различных веб-приложениях.
Составление тестовых сценариев для выявления уязвимостей.
Анализ косвенных признаков уязвимостей.
Применение инструментов для тестирования защищенности.
Чему вы научитесь
01
Анализировать основные принципы компрометации защиты веб-приложений.
02
Использовать инструменты для тестирования защищенности.
03
Осуществлять поиск уязвимостей в веб-приложениях.
04
Составлять тестовые сценарии для выявления уязвимостей.
05
Применять методики тестирования на реальных примерах.
Курс проводят
Бирюков Андрей
Эксперт в области информационной безопасности