Schulungsübersicht

Einführung

Erkundung des OWASP Testprojekts

  • Grundsätze des Testens
  • Testtechniken
  • Ableitung von Sicherheitstestanforderungen
  • In die Entwicklungs- und Testabläufe integrierte Sicherheitstests
  • Analyse von Sicherheitstestdaten und Berichterstattung

Arbeiten mit dem OWASP Testing Framework

  • Phase 1: Vor Beginn der Entwicklung
  • Phase 2: Während der Definition und des Entwurfs
  • Phase 3: Während der Entwicklung
  • Phase 4: Während der Einführung
  • Phase 5: Wartung und Betrieb
  • Ein typischer Arbeitsablauf für Lebenszyklustests
  • Methoden für Penetrationstests

Testen der Sicherheit von Webanwendungen

  • Einführung und Ziele
  • Sammeln von Informationen
  • Durchführen von Suchmaschinenerkennung und Erkundung nach Informationslecks
  • Fingerabdrücke von Webservern
  • Überprüfung von Webserver-Metadateien auf Informationslecks
  • Aufzählung von Anwendungen auf dem Webserver
  • Überprüfung des Inhalts von Webseiten auf Informationslecks
  • Identifizieren von Anwendungseintrittspunkten
  • Ausführungspfade durch die Anwendung abbilden
  • Fingerprinting des Webanwendungs-Frameworks
  • Fingerabdruck der Webanwendung
  • Abbildung der Anwendungsarchitektur
  • Testen des Konfigurations- und Einsatzmanagements
  • Testen der Netzwerk-/Infrastrukturkonfiguration
  • Testen der Konfiguration der Anwendungsplattform
  • Testen der Handhabung von Dateierweiterungen auf sensible Informationen
  • Überprüfung alter, gesicherter und nicht referenzierter Dateien auf vertrauliche Informationen
  • Aufzählung der Verwaltungsschnittstellen von Infrastruktur und Anwendungen
  • Testen von HTTP-Methoden
  • Test der strikten HTTP-Transportsicherheit
  • Test der RIA-übergreifenden Richtlinie
  • Test der Dateiberechtigung
  • Test für Subdomain-Übernahme
  • Test von Cloud-Speicher

Identity Management Testen

  • Rollendefinitionen testen
  • Test des Benutzerregistrierungsprozesses
  • Test des Prozesses zur Bereitstellung von Konten
  • Testen auf Kontoaufzählung und erratbare Benutzerkonten
  • Testen auf schwache oder nicht durchgesetzte Richtlinien für Benutzernamen

Testen der Authentifizierung

  • Testen auf Zugangsdaten, die über einen verschlüsselten Kanal übertragen werden
  • Testen auf Standard-Anmeldedaten
  • Testen auf schwache Sperrmechanismen
  • Testen auf Umgehung des Authentifizierungsschemas
  • Testen auf anfällige Passwortspeicherung
  • Testen auf Schwachstellen im Browser-Cache
  • Testen auf schwache Passwortrichtlinien
  • Testen auf schwache Antworten auf Sicherheitsfragen
  • Testen auf schwache Funktionen zum Ändern oder Zurücksetzen von Passwörtern
  • Testen auf schwache Authentifizierung in alternativen Kanälen

Autorisierungstests

  • Testen von Directory Traversal/Datei-Include
  • Testen auf Umgehung des Autorisierungsschemas
  • Testen auf Privilegieneskalation
  • Testen auf unsichere direkte Objektreferenzen

Sitzung Management Testen

  • Testen auf das Schema der Sitzungsverwaltung
  • Testen auf Cookies-Attribute
  • Testen auf Sitzungsfixierung
  • Testen auf exponierte Sitzungsvariablen
  • Testen auf Cross Site Request Forgery
  • Testen auf Logout-Funktionalität
  • Testen der Sitzungszeitüberschreitung
  • Testen auf Session Puzzling
  • Testen auf Session Hijacking

Testen der Eingabevalidierung

  • Testen auf reflektiertes Cross-Site-Scripting
  • Testen auf gespeichertes Cross-Site-Scripting
  • Testen auf HTTP-Verb-Manipulationen
  • Testen auf Verschmutzung von HTTP-Parametern
  • Testen auf SQL-Injektion
  • Überprüfung auf Oracle
  • Prüfung auf MySQL
  • Testen auf SQL Server
  • Testen auf PostgreSQL
  • Testen von MS Access
  • Testen von NoSQL Injektion
  • Testen für ORM-Injektion
  • Testen für Client-seitig
  • Testen von LDAP Injektion
  • Testen auf XML Injektion
  • Testen von SSI-Injektion
  • Testen auf XPath-Injektion
  • Testen auf IMAP/SMTP-Injektion
  • Testen auf Code-Injektion
  • Testen auf lokale Dateieinbindung
  • Testen auf entfernte Dateieinbindung
  • Testen auf Befehlsinjektion
  • Testen auf Format String Injection
  • Testen auf inkubierte Sicherheitslücken
  • Testen auf HTTP-Splitting/Schmuggel
  • Testen auf eingehende HTTP-Anfragen
  • Testen auf Host-Header-Injektion
  • Testen auf serverseitige Template-Injektion
  • Testen auf serverseitige Anforderungsfälschung

Testen auf Fehlerbehandlung

  • Testen auf unsachgemäße Fehlerbehandlung
  • Testen auf Stack Traces

Testen auf schwache Kryptographie

  • Testen auf schwache Transport Layer Security
  • Prüfung auf Auffüllen Oracle
  • Testen auf sensible Informationen, die über unverschlüsselte Kanäle gesendet werden
  • Prüfung auf schwache Verschlüsselung

Business Testen der Logik

  • Einführung in die Geschäftslogik
  • Testen der Datenvalidierung der Geschäftslogik
  • Testen der Fähigkeit, Anfragen zu fälschen
  • Test der Integritätsprüfungen
  • Test auf Prozess-Timing
  • Test der Anzahl der möglichen Verwendungen einer Funktion
  • Test auf die Umgehung von Arbeitsabläufen
  • Test von Schutzmaßnahmen gegen Anwendungsmissbrauch
  • Test des Hochladens unerwarteter Dateitypen
  • Test des Uploads bösartiger Dateien

Client-seitige Tests

  • Testen auf DOM-basiertes Cross-Site-Scripting
  • Testen auf JavaSkriptausführung
  • Testen auf HTMLInjektion
  • Testen auf client-seitige URL-Umleitung
  • Testen auf CSSInjektion
  • Testen auf client-seitige Ressourcenmanipulation
  • Testen der gemeinsamen Nutzung von Ressourcen über mehrere Quellen hinweg
  • Testen auf seitenübergreifendes Flashen
  • Testen auf Clickjacking
  • Testen von WebSockets
  • Testen von Web-Messaging
  • Testen der Browser-Speicherung
  • Testen auf seitenübergreifende Skripteinbindung

API Testing

  • Testen GraphQL

Berichterstattung

  • Einführung
  • Zusammenfassende Darstellung
  • Feststellungen
  • Anhänge

Voraussetzungen

    Ein allgemeines Verständnis des Lebenszyklus der Webentwicklung Erfahrung in der Entwicklung von Webanwendungen, Sicherheit und Testen.

Publikum

    Entwickler Ingenieure Architekten
  21 Stunden
 

Teilnehmerzahl


Beginnt

Endet


Die Termine sind abhängig von der Verfügbarkeit und finden zwischen 09:30 und 16:30 statt.
Offene Schulungskurse erfordern mindestens 5 Teilnehmer.

Erfahrungsberichte (1)

Kombinierte Kurse

CRISC - Certified in Risk and Information Systems Control

  21 Stunden

Microsoft SDL Core

  14 Stunden

Standard Java Security

  14 Stunden

Java and Web Application Security

  21 Stunden

Advanced Java Security

  21 Stunden

Advanced Java, JEE and Web Application Security

  28 Stunden

.NET, C# and ASP.NET Security Development

  14 Stunden

Comprehensive C# and .NET Application Security

  21 Stunden

Advanced C#, ASP.NET and Web Application Security

  21 Stunden

Verwandte Kategorien