Thank you for sending your enquiry! One of our team members will contact you shortly.
Thank you for sending your booking! One of our team members will contact you shortly.
Programa del Curso
Introducción
Explorando el proyecto de pruebas OWASP
- Principios de las pruebas
- Técnicas de ensayo
- Derivación de los requisitos de las pruebas de seguridad
- Pruebas de seguridad integradas en flujos de trabajo de desarrollo y pruebas
- Análisis e informes de datos de pruebas de seguridad
Trabajar con el OWASP marco de pruebas
- Fase 1: Antes de que comience el desarrollo
- Fase 2: Durante la definición y el diseño
- Fase 3: Durante el desarrollo
- Fase 4: Durante la implementación
- Fase 5: Mantenimiento y operaciones
- Un flujo de trabajo típico de pruebas de ciclo de vida
- Metodologías de pruebas de penetración
Probar la seguridad de la aplicación web
- Introducción y objetivos
- Recopilación de información
- Llevar a cabo el descubrimiento y el reconocimiento de los motores de búsqueda para detectar fugas de información
- Servidor web de huellas dactilares
- Revise los metarchivos del servidor web para detectar fugas de información
- Enumerar aplicaciones en el servidor web
- Revisar el contenido de la página web en busca de fugas de información
- Identificación de los puntos de entrada de la aplicación
- Asignación de rutas de ejecución a través de la aplicación
- Marco de aplicación web de huellas dactilares
- Aplicación web de huellas dactilares
- Arquitectura de aplicaciones de mapas
- Pruebas de administración de configuración e implementación
- Probar la configuración de la red/infraestructura
- Probar la configuración de la plataforma de aplicaciones
- Pruebe el manejo de extensiones de archivo para información confidencial
- Revise los archivos antiguos, de copia de seguridad y sin referencia en busca de información confidencial
- Enumeración de la infraestructura y las interfaces de administración de aplicaciones
- Probar métodos HTTP
- Probar la seguridad de transporte estricta de HTTP
- Probar la directiva de dominios cruzados de RIA
- Permiso de archivo de prueba
- Prueba de adquisición de subdominios
- Probar el almacenamiento en la nube
Pruebas de identidad Management
- Definiciones de roles de prueba
- Proceso de registro de usuario de prueba
- Proceso de aprovisionamiento de cuentas de prueba
- Pruebas para la enumeración de cuentas y la cuenta de usuario adivinable
- Comprobación de la política de nombre de usuario débil o no aplicada
Pruebas de autenticación
- Comprobación de credenciales transportadas a través de un canal cifrado
- Comprobación de credenciales predeterminadas
- Pruebas de mecanismo de bloqueo débil
- Pruebas para omitir el esquema de autenticación
- Pruebas de contraseña de recordatorio vulnerable
- Pruebas de debilidad de la caché del navegador
- Comprobación de la política de contraseñas débiles
- Pruebas de respuestas débiles a preguntas de seguridad
- Pruebas de funcionalidades débiles de cambio o restablecimiento de contraseñas
- Pruebas de autenticación más débil en un canal alternativo
Pruebas de autorización
- Probando el recorrido del directorio/archivo include
- Pruebas para omitir el esquema de autorización
- Pruebas de escalada de privilegios
- Comprobación de referencias directas a objetos no seguras
Sesión Management Pruebas
- Pruebas para el esquema de administración de sesiones
- Comprobación de los atributos de las cookies
- Pruebas de fijación de la sesión
- Pruebas de variables de sesión expuestas
- Pruebas de falsificación de solicitudes entre sitios
- Pruebas de la funcionalidad de cierre de sesión
- Tiempo de espera de la sesión de prueba
- Pruebas de desconcierto de sesión
- Pruebas de secuestro de sesión
Pruebas de validación de entrada
- Pruebas de secuencias de comandos entre sitios reflejadas
- Pruebas de secuencias de comandos entre sitios almacenadas
- Pruebas de manipulación de verbos HTTP
- Pruebas de contaminación de parámetros HTTP
- Pruebas de inyección SQL
- Pruebas para Oracle
- Pruebas para MySQL
- Pruebas para SQL Server
- Pruebas para PostgreSQL
- Pruebas de MS Access
- Pruebas de inyección NoSQL
- Pruebas para la inyección de ORM
- Pruebas para el lado del cliente
- Pruebas de inyección LDAP
- Pruebas de inyección XML
- Pruebas para la inyección de SSI
- Pruebas para la inyección de XPath
- Pruebas para la inyección de IMAP/SMTP
- Pruebas de inyección de código
- Pruebas para la inclusión de archivos locales
- Pruebas de inclusión de archivos remotos
- Pruebas para la inyección de comandos
- Pruebas de inyección de cadenas de formato
- Pruebas de vulnerabilidad incubada
- Pruebas de división/contrabando HTTP
- Pruebas de solicitudes entrantes HTTP
- Pruebas para la inyección de encabezado de host
- Pruebas para la inyección de plantillas del lado del servidor
- Pruebas de falsificación de solicitudes del lado del servidor
Pruebas de control de errores
- Pruebas para detectar el manejo inadecuado de errores
- Pruebas de seguimientos de pila
Pruebas de criptografía débil
- Pruebas de seguridad débil de la capa de transporte
- Pruebas de relleno Oracle
- Pruebas de información confidencial enviada a través de canales no cifrados
- Pruebas de cifrado débil
Business Pruebas lógicas
- Introducción a la lógica empresarial
- Probar la validación de datos de lógica de negocios
- Probar la capacidad de falsificar solicitudes
- Comprobaciones de integridad de pruebas
- Pruebe el tiempo del proceso
- Límite del número de veces que se puede usar una función
- Pruebas para la elusión de los flujos de trabajo
- Probar las defensas contra el uso indebido de la aplicación
- Probar la carga de tipos de archivos inesperados
- Carga de prueba de archivos maliciosos
Pruebas del lado del cliente
- Pruebas de secuencias de comandos entre sitios basadas en DOM
- Pruebas de ejecución JavaScript
- Pruebas de inyección HTML
- Pruebas de redireccionamientode URL del lado del cliente
- Pruebas para la inyección de CSS
- Pruebas de manipulación de recursos del lado cliente
- Prueba del uso compartido de recursos entre orígenes
- Pruebas de tapajuntas entre sitios
- Pruebas de clickjacking
- Prueba de WebSockets
- Prueba de la mensajería web
- Probar el almacenamiento del navegador
- Pruebas de inclusión de scripts entre sitios
API Testing
- Pruebas GraphQL
Informes
- Introducción
- Resumen ejecutivo
- Resultados
- Apéndices
Requerimientos
-
Una comprensión general del ciclo de vida del desarrollo web
Experiencia en desarrollo, seguridad y pruebas de aplicaciones web.
Audiencia
-
Desarrolladores
Ingenieros
Arquitectos
21 horas
Testimonios (1)
Vea en vivo la ejecución real de acciones utilizando herramientas de muestra para probar / piratear aplicaciones.
Paweł - Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy
Curso - Web Security with the OWASP Testing Framework
Traducción Automática