УЦ Микротест - источник ваших знаний
 
Личный кабинет Вход / Регистрация
 
 
 
  Вход Регистрация
Логин*
E-mail, указанный при регистрации
Пароль* не помню
 
Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:
 
 
0 позиций

+7 (495) 231-23-51 Москва

+7 (964) 778-99-27 Москва

+7 (343) 286-17-86 Екатеринбург

+7 (3452) 68-88-99 Тюмень

Учебный Центр «Микротест» - обучение и сертификация IT-специалистов
Учебный центр Микротест / Расписание курсов / Информзащита / Информационная безопасность / Тестирование веб-приложений на наличие уязвимостей OWASP Top 10

Курс Тестирование веб-приложений на наличие уязвимостей OWASP Top 10 (Код: OWASP Тор10)

Информзащита

 


OWASP Top 10 – это рейтинг самых актуальных уязвимостей веб-приложений, который составляется сообществом OWASP (Open Web Application Security Project). Наличие в веб-приложении уязвимости из этого списка представляет серьезную угрозу как для безопасности информации самого веб-приложения, так и для безопасности пользователей этого приложения.

Целью курса "Тестирование веб-приложений на наличие уязвимостей OWASP Top 10" является знакомство аудитории с уязвимостями из рейтинга OWASP Top 10, а также с базовыми методами тестирования веб-приложений на наличие этих уязвимостей. Особое внимание уделяется выработке практических навыков по работе с инструментами анализа защищенности веб-приложений. 

Курс длится 16 академических часов


Аудитория

  • Инженеры по тестированию программного обеспечения, в обязанности которых входит проверка свойств защищенности веб-приложений.
  • Руководители отделов тестирования программного обеспечения, в обязанности которых входит разработка планов тестирования веб-приложений и написание постановок задач.
  • Разработчики программного обеспечения, в обязанности которых входит проектирование и реализация подсистем защищенности веб-приложений. 

Необходимая подготовка

  • Знание протокола HTTP, в том числе стандарта по использованию cookies.
  • Знание языка разметки HTML.
  • Знакомство с CSS, DOM-моделью HTML-документа, языком JavaScript, языком запросов SQL, интерпретатором Bourne Shell (bash). 

Цели курса

Будут приобретены знания:

  • о причинах возникновения уязвимостей из рейтинга OWASP Top 10;
  • о рисках, возникающих из наличия в веб-приложениях уязвимостей из рейтинга OWASP Top 10;
  • о методах проверки веб-приложения на наличие уязвимостей из рейтинга OWASP Top 10.

Будут приобретены умения:

  • разрабатывать тестовые планы проверки веб-приложений на наличие уязвимостей из рейтинга OWASP Top 10;
  • использовать инструментальные средства для тестирования веб- приложений на наличие уязвимостей из рейтинга OWASP Top 10. 

Подробная программа курса

Содержание

Глава 1

  • Введение. Место веб-приложений в современном мире. Почему веб-приложения все чаще становятся целью злоумышленников? Особые требования, которые предъявляются к безопасности веб-приложений. Обзор OWASP Top 10 2010. Как правильно и неправильно использовать этот рейтинг.
  • Знакомство с инструментальным средством Burp Suite. Выполнение каких задач в процессе тестирования защищенности веб-приложений позволяет автоматизировать данное средство.
  • A1: уязвимости к внедрению кода[1]. Уязвимости к внедрению кода на языке SQL и Shell.
  • A2: уязвимости XSS (Cross Site Scripting).
  • A3: уязвимости, возникающие вследствие некорректной реализации механизма аутентификации и управления сеансами веб-приложения.


Глава 2

  • A4: уязвимости, позволяющие осуществлять неконтролируемый доступ к внутренним объектам веб-приложения напрямую. Возможность обхода каталогов (Path Traversal).
  • A5: уязвимости CSRF (Cross Site Request Forgery).
  • A6: уязвимости, возникающие вследствие неправильной конфигурации веб-приложения и его окружения.
  • A7: уязвимости, связанные с некорректной реализацией криптографических методов защиты информации для хранения критичных данных на стороне сервера.
  • A8: уязвимости механизма авторизации веб-приложений: возможность прямого доступа к ресурсам по URL.
  • A9: недостаточная защищенность транспортного протокола.
  • A10: уязвимости, позволяющие использовать веб-приложение для перенаправления пользователей на любой сайт (Open Redirects).

_________________________________

[1] Для каждого типа уязвимостей рассматриваются:

  • риски, порождаемые наличием уязвимостей данного типа;
  • методы тестирования веб-приложений на наличие уязвимостей даннного типа;
  • автоматизация этих методов с помощью Burp Suite.

Скрыть подробную программу курса

Заказать обучение «Тестирование веб-приложений на наличие уязвимостей OWASP Top 10 (OWASP Тор10)» можно, кликнув на удобную дату его проведения, по почте training AT training-microtest DOT ru или по одному из телефонов, указанных в разделе Контакты.



 
Заказать