课程培训
网络安全与OWASP测试框架培训课程

课程简介

Web安全性概述

  • 2013年十大
  • 手机十大2016
  • 2016年十大主动控制
OWASP测试
  • 介绍
    • OWASP测试项目
    • 测试原理
    • 测试技术说明
    • 派生安全测试要求
    • 安全测试集成在开发和测试工作流程中
    • 安全测试数据分析与报告
  • OWASP测试框架
    • 概观
    • 阶段1:开发前开始
    • 阶段2:定义和设计期间
    • 阶段3:发展中
    • 阶段4:部署期间
    • 第5阶段:维护和操作
    • 典型的SDLC测试工作流程
  • Web应用程序安全测试
    • 介绍与目标
    • 测试清单
    • 信息收集
    • 进行搜索引擎发现和信息泄露侦察(OTG-INFO-001)
    • 指纹网络服务器(OTG-INFO-002)
    • 查看Web服务器图文文件以获取信息泄漏(OTG-INFO-003)
    • 枚举Web服务器上的应用程序(OTG-INFO-004)
    • 审查信息泄漏的网页注释和元数据(OTG-INFO-005)
    • 识别应用程序入口点(OTG-INFO-006)
    • 通过应用程序映射执行路径(OTG-INFO-007)
    • 指纹Web应用程序框架(OTG-INFO-008)
    • 指纹网络应用(OTG-INFO-009)
    • 地图应用架构(OTG-INFO-010)
    • 配置和部署管理测试
    • 测试网络/基础架构配置(OTG-CONFIG-001)
    • 测试应用平台配置(OTG-CONFIG-002)
    • 测试文件扩展名处理敏感信息(OTG-CONFIG-003)
    • 查看敏感信息的旧的,备份和未引用的文件(OTG-CONFIG-004)
    • 枚举基础架构和应用程序管理界面(OTG-CONFIG-005)
    • 测试HTTP方法(OTG-CONFIG-006)
    • 测试HTTP严格传输安全(OTG-CONFIG-007)
    • 测试RIA跨域策略(OTG-CONFIG-008)
  • 身份管理测试
    • 测试角色定义(OTG-IDENT-001)
    • 测试用户注册过程(OTG-IDENT-002
    • 测试帐户配置过程(OTG-IDENT-003)
    • 帐户枚举和可预测的用户帐户测试(OTG-IDENT-004)
    • 测试弱或非强制用户名策略(OTG-IDENT-005)
  • 验证测试
    • 通过加密通道传输的证书测试(OTG-AUTHN-001)
    • 测试默认凭据(OTG-AUTHN-002)
    • 弱锁定机制测试(OTG-AUTHN-003)
    • 测试绕过认证模式(OTG-AUTHN-004)
    • 测试记住密码功能(OTG-AUTHN-005)
    • 测试浏览器缓存弱点(OTG-AUTHN-006)
    • 测试弱密码策略(OTG-AUTHN-007)
    • 测试弱安全问题/答案(OTG-AUTHN-008)
    • 测试弱密码更改或重置功能(OTG-AUTHN-009)
    • 在替代频道(OTG-AUTHN-010)中测试较弱的身份验证
  • 授权测试
    • 测试目录遍历/文件包含(OTG-AUTHZ-001)
    • 绕过授权模式的测试(OTG-AUTHZ-002)
    • 特权升级测试(OTG-AUTHZ-003)
    • 不安全直接对象引用测试(OTG-AUTHZ-004)
  • 会话管理测试
    • 绕过会话管理模式的测试(OTG-SESS-001)
    • 测试Cookie属性(OTG-SESS-002)
    • 会话固定测试(OTG-SESS-003)
    • 测试暴露的会话变量(OTG-SESS-004)
    • 跨站点请求伪造(CSRF)测试(OTG-SESS-005)
    • 测试注销功能(OTG-SESS-006)
    • 测试会话超时(OTG-SESS-007)
    • 测试会话困惑(OTG-SESS-008)
  • 输入验证测试
    • 反映跨站脚本测试(OTG-INPVAL-001)
    • 测试存储的跨站脚本(OTG-INPVAL-002)
    • 测试HTTP动词篡改(OTG-INPVAL-003)
    • 测试HTTP参数污染(OTG-INPVAL-004)
    • SQL注入测试(OTG-INPVAL-005)
    • LDAP注入测试(OTG-INPVAL-006)
    • ORM注射试验(OTG-INPVAL-007)
    • XML注入测试(OTG-INPVAL-008)
    • SSI注射试验(OTG-INPVAL-009)
    • XPath注入测试(OTG-INPVAL-010)
    • IMAP / SMTP注入(OTG-INPVAL-011)
    • 代码注入测试(OTG-INPVAL-012)
      • 本地文件包含测试
      • 远程文件包含测试
      • 命令注入测试(OTG-INPVAL-013)
      • 缓冲区溢出测试(OTG-INPVAL-014)
      • 测试堆溢出
      • 堆栈溢出测试
      • 测试格式字符串
      • 孵化漏洞测试(OTG-INPVAL-015)
      • HTTP分割/走私测试(OTG-INPVAL-016
  • 错误处理测试
    • 错误码分析(OTG-ERR-001)
    • 堆栈跟踪分析(OTG-ERR-002)
  • 弱密码学测试
    • 测试弱SSL / TLS密码,传输层保护不足(OTG-CRYPST-001)
    • 测试填充Oracle(OTG-CRYPST-002)
    • 测试通过未加密通道发送的敏感信息(OTG-CRYPST-003)
  • 业务逻辑测试
    • 测试业务逻辑数据验证(OTG-BUSLOGIC-001)
    • 测试能力(OTG-BUSLOGIC-002)
    • 测试完整性检查(OTG-BUSLOGIC-003)
    • 测试过程时序(OTG-BUSLOGIC-004)
    • 可以使用功能的测试次数限制(OTG-BUSLOGIC-005)
    • 测试工作流程的规避(OTG-BUSLOGIC-006)
    • 测试防范应用程序误用(OTG-BUSLOGIC-007)
    • 测试上传意外文件类型(OTG-BUSLOGIC-008)
    • 测试恶意文件上传(OTG-BUSLOGIC-009)
  • 客户端测试
    • 测试基于DOM的跨站脚本(OTG-CLIENT-001)
    • JavaScript执行测试(OTG-CLIENT-002)
    • HTML注入测试(OTG-CLIENT-003)
    • 客户端URL重定向测试(OTG-CLIENT-004)
    • CSS注入测试(OTG-CLIENT-005)
    • 客户端资源操作测试(OTG-CLIENT-006)
    • 测试跨源资源共享(OTG-CLIENT-007)
    • 跨站点闪烁测试(OTG-CLIENT-008)
    • 劫持测试(OTG-CLIENT-009)
    • 测试WebSockets(OTG-CLIENT-010)
    • 测试Web消息(OTG-CLIENT-011)
    • 测试本地存储(OTG-CLIENT-012)

报告

  • 执行摘要
  • 测试参数
  • 发现



如果您想学习本课程,请预约报名
如果没找到合适的课程或有特殊培训需求,请订制培训
除培训外,同时提供相关技术咨询与技术支持服务,有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916
技术服务需求表点击在线申请

服务特点:
海量专家资源,精准匹配相关行业,相关项目专家,针对实际需求,顾问式咨询,互动式授课,案例教学,小班授课,实际项目演示,快捷高效,省时省力省钱。

专家力量:
中国科学院软件研究所,计算研究所高级研究人员
oracle,微软,vmware,MSC,Ansys,candence,Altium,达索等大型公司高级工程师,项目经理,技术支持专家
中科信软培训中心,资深专家或讲师
大多名牌大学,硕士以上学历,相关技术专业,理论素养丰富
多年实际项目经历,大型项目实战案例,热情,乐于技术分享
针对客户实际需求,案例教学,互动式沟通,学有所获
报名表下载
联系我们 更多>>

咨询电话010-62883247

                4007991916

咨询邮箱:soft@info-soft.cn  

 

微信号.jpg

  微信咨询

随时听讲课

聚焦技术实践

订制培训 更多>>