Улучшаемые навыки
Безопасность веб-приложений
OWASP TOP 10
Тестирование уязвимостей
Клиент-серверные атаки
SOAP
REST
JSON API
Инструменты
Wireshark
Postman
Burp Suite
OWASP ZAP
Чему вы научитесь
01
Анализировать основные принципы компрометации защиты веб-приложений.
02
Использовать инструменты для тестирования защищенности.
03
Осуществлять поиск уязвимостей в веб-приложениях.
04
Составлять тестовые сценарии для выявления уязвимостей.
05
Применять методики тестирования на реальных примерах.
Программа курса
01
Основные принципы компрометации веб-приложения
ТЗ: Что тестрируем?
Почему это проблема?
Уязвимости веб-приложений
Протокол HTTP
02
Уязвимости серверной части
A1 – Broken Access Control
A2 – Cryptographic Failures
A3 – Injection
A4 – InSECURE DESIGN
A5 – SECURITY MISCONFIGURATION
A6 – Vulnerable and Outdated Components
A7 – Identification and Authentication Failures
A8 – Software and Data Integrity Failures
A9 – Security Logging and Monitoring Failures
03
Уязвимости клиентской части
A3 – injections (XSS)
Cross-Site Request Forgery (CSRF)
A10 – SERVER SIDE REQUEST FORGERY
04
Тестирование API. Общий план
SOAP API и JSON API
REST API
Общий план тестирования
Поиск уязвимостей в различных веб-приложениях.
Составление тестовых сценариев для выявления уязвимостей.
Анализ косвенных признаков уязвимостей.
Применение инструментов для тестирования защищенности.
06
Итого на курс 16 часов: теория – 10 ч (63 %), практика – 6 ч (37%)
Для кого
Тестировщик
DevOps-инженер
Предварительная подготовка
Знание основ web-технологий.
Начальные знания в разработке ПО или тестировании веб-приложений.