课程简介

Web安全性概述

• 2013年十大
• 手机十大2016
• 2016年十大主动控制

• 介绍
  • OWASP测试项目
  • 测试原理
  • 测试技术说明
  • 派生安全测试要求
  • 安全测试集成在开发和测试工作流程中
  • 安全测试数据分析与报告
• OWASP测试框架
  • 概观
  • 阶段1：开发前开始
  • 阶段2：定义和设计期间
  • 阶段3：发展中
  • 阶段4：部署期间
  • 第5阶段：维护和操作
  • 典型的SDLC测试工作流程
• Web应用程序安全测试
  • 介绍与目标
  • 测试清单
  • 信息收集
  • 进行搜索引擎发现和信息泄露侦察（OTG-INFO-001）
  • 指纹网络服务器（OTG-INFO-002）
  • 查看Web服务器图文文件以获取信息泄漏（OTG-INFO-003）
  • 枚举Web服务器上的应用程序（OTG-INFO-004）
  • 审查信息泄漏的网页注释和元数据（OTG-INFO-005）
  • 识别应用程序入口点（OTG-INFO-006）
  • 通过应用程序映射执行路径（OTG-INFO-007）
  • 指纹Web应用程序框架（OTG-INFO-008）
  • 指纹网络应用（OTG-INFO-009）
  • 地图应用架构（OTG-INFO-010）
  • 配置和部署管理测试
  • 测试网络/基础架构配置（OTG-CONFIG-001）
  • 测试应用平台配置（OTG-CONFIG-002）
  • 测试文件扩展名处理敏感信息（OTG-CONFIG-003）
  • 查看敏感信息的旧的，备份和未引用的文件（OTG-CONFIG-004）
  • 枚举基础架构和应用程序管理界面（OTG-CONFIG-005）
  • 测试HTTP方法（OTG-CONFIG-006）
  • 测试HTTP严格传输安全（OTG-CONFIG-007）
  • 测试RIA跨域策略（OTG-CONFIG-008）
• 身份管理测试
  • 测试角色定义（OTG-IDENT-001）
  • 测试用户注册过程（OTG-IDENT-002
  • 测试帐户配置过程（OTG-IDENT-003）
  • 帐户枚举和可预测的用户帐户测试（OTG-IDENT-004）
  • 测试弱或非强制用户名策略（OTG-IDENT-005）
• 验证测试
  • 通过加密通道传输的证书测试（OTG-AUTHN-001）
  • 测试默认凭据（OTG-AUTHN-002）
  • 弱锁定机制测试（OTG-AUTHN-003）
  • 测试绕过认证模式（OTG-AUTHN-004）
  • 测试记住密码功能（OTG-AUTHN-005）
  • 测试浏览器缓存弱点（OTG-AUTHN-006）
  • 测试弱密码策略（OTG-AUTHN-007）
  • 测试弱安全问题/答案（OTG-AUTHN-008）
  • 测试弱密码更改或重置功能（OTG-AUTHN-009）
  • 在替代频道（OTG-AUTHN-010）中测试较弱的身份验证
• 授权测试
  • 测试目录遍历/文件包含（OTG-AUTHZ-001）
  • 绕过授权模式的测试（OTG-AUTHZ-002）
  • 特权升级测试（OTG-AUTHZ-003）
  • 不安全直接对象引用测试（OTG-AUTHZ-004）
• 会话管理测试
  • 绕过会话管理模式的测试（OTG-SESS-001）
  • 测试Cookie属性（OTG-SESS-002）
  • 会话固定测试（OTG-SESS-003）
  • 测试暴露的会话变量（OTG-SESS-004）
  • 跨站点请求伪造（CSRF）测试（OTG-SESS-005）
  • 测试注销功能（OTG-SESS-006）
  • 测试会话超时（OTG-SESS-007）
  • 测试会话困惑（OTG-SESS-008）
• 输入验证测试
  • 反映跨站脚本测试（OTG-INPVAL-001）
  • 测试存储的跨站脚本（OTG-INPVAL-002）
  • 测试HTTP动词篡改（OTG-INPVAL-003）
  • 测试HTTP参数污染（OTG-INPVAL-004）
  • SQL注入测试（OTG-INPVAL-005）
  • LDAP注入测试（OTG-INPVAL-006）
  • ORM注射试验（OTG-INPVAL-007）
  • XML注入测试（OTG-INPVAL-008）
  • SSI注射试验（OTG-INPVAL-009）
  • XPath注入测试（OTG-INPVAL-010）
  • IMAP / SMTP注入（OTG-INPVAL-011）
  • 代码注入测试（OTG-INPVAL-012）
    • 本地文件包含测试
    • 远程文件包含测试
    • 命令注入测试（OTG-INPVAL-013）
    • 缓冲区溢出测试（OTG-INPVAL-014）
    • 测试堆溢出
    • 堆栈溢出测试
    • 测试格式字符串
    • 孵化漏洞测试（OTG-INPVAL-015）
    • HTTP分割/走私测试（OTG-INPVAL-016
• 错误处理测试
  • 错误码分析（OTG-ERR-001）
  • 堆栈跟踪分析（OTG-ERR-002）
• 弱密码学测试
  • 测试弱SSL / TLS密码，传输层保护不足（OTG-CRYPST-001）
  • 测试填充Oracle（OTG-CRYPST-002）
  • 测试通过未加密通道发送的敏感信息（OTG-CRYPST-003）

• 业务逻辑测试
  • 测试业务逻辑数据验证（OTG-BUSLOGIC-001）
  • 测试能力（OTG-BUSLOGIC-002）
  • 测试完整性检查（OTG-BUSLOGIC-003）
  • 测试过程时序（OTG-BUSLOGIC-004）
  • 可以使用功能的测试次数限制（OTG-BUSLOGIC-005）
  • 测试工作流程的规避（OTG-BUSLOGIC-006）
  • 测试防范应用程序误用（OTG-BUSLOGIC-007）
  • 测试上传意外文件类型（OTG-BUSLOGIC-008）
  • 测试恶意文件上传（OTG-BUSLOGIC-009）
• 客户端测试
  • 测试基于DOM的跨站脚本（OTG-CLIENT-001）
  • JavaScript执行测试（OTG-CLIENT-002）
  • HTML注入测试（OTG-CLIENT-003）
  • 客户端URL重定向测试（OTG-CLIENT-004）
  • CSS注入测试（OTG-CLIENT-005）
  • 客户端资源操作测试（OTG-CLIENT-006）
  • 测试跨源资源共享（OTG-CLIENT-007）
  • 跨站点闪烁测试（OTG-CLIENT-008）
  • 劫持测试（OTG-CLIENT-009）
  • 测试WebSockets（OTG-CLIENT-010）
  • 测试Web消息（OTG-CLIENT-011）
  • 测试本地存储（OTG-CLIENT-012）

报告

• 执行摘要
• 测试参数
• 发现

如果您想学习本课程，请预约报名
如果没找到合适的课程或有特殊培训需求，请订制培训
除培训外，同时提供相关技术咨询与技术支持服务，有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916
技术服务需求表点击在线申请

服务特点：
海量专家资源，精准匹配相关行业，相关项目专家，针对实际需求，顾问式咨询，互动式授课，案例教学，小班授课，实际项目演示，快捷高效，省时省力省钱。

专家力量：
中国科学院软件研究所，计算研究所高级研究人员
oracle,微软，vmware，MSC,Ansys，candence,Altium,达索等大型公司高级工程师，项目经理，技术支持专家
中科信软培训中心，资深专家或讲师
大多名牌大学，硕士以上学历，相关技术专业，理论素养丰富
多年实际项目经历，大型项目实战案例，热情，乐于技术分享
针对客户实际需求，案例教学，互动式沟通，学有所获

 点击进入报名表

咨询电话：010-62883247

                4007991916

咨询邮箱：soft@info-soft.cn  

 

微信咨询 随时听讲课 聚焦技术实践