Курс Тестирование веб-приложений на наличие уязвимостей OWASP Top 10

Код: OWASP Тор10

Продолжительность курса

16 Академических часов

OWASP Top 10 – это рейтинг самых актуальных уязвимостей веб-приложений, который составляется сообществом OWASP (Open Web Application Security Project). Наличие в веб-приложении уязвимости из этого списка представляет серьезную угрозу как для безопасности информации самого веб-приложения, так и для безопасности пользователей этого приложения.

Целью курса "Тестирование веб-приложений на наличие уязвимостей OWASP Top 10" является знакомство аудитории с уязвимостями из рейтинга OWASP Top 10, а также с базовыми методами тестирования веб-приложений на наличие этих уязвимостей. Особое внимание уделяется выработке практических навыков по работе с инструментами анализа защищенности веб-приложений. 

Стоимость курса

0 руб
Заказать

Цели курса:

Будут приобретены знания:

  • о причинах возникновения уязвимостей из рейтинга OWASP Top 10;
  • о рисках, возникающих из наличия в веб-приложениях уязвимостей из рейтинга OWASP Top 10;
  • о методах проверки веб-приложения на наличие уязвимостей из рейтинга OWASP Top 10.

Будут приобретены умения:

  • разрабатывать тестовые планы проверки веб-приложений на наличие уязвимостей из рейтинга OWASP Top 10;
  • использовать инструментальные средства для тестирования веб- приложений на наличие уязвимостей из рейтинга OWASP Top 10. 

Аудитория

  • Инженеры по тестированию программного обеспечения, в обязанности которых входит проверка свойств защищенности веб-приложений.
  • Руководители отделов тестирования программного обеспечения, в обязанности которых входит разработка планов тестирования веб-приложений и написание постановок задач.
  • Разработчики программного обеспечения, в обязанности которых входит проектирование и реализация подсистем защищенности веб-приложений. 

От слушателя требуется

  • Знание протокола HTTP, в том числе стандарта по использованию cookies.
  • Знание языка разметки HTML.
  • Знакомство с CSS, DOM-моделью HTML-документа, языком JavaScript, языком запросов SQL, интерпретатором Bourne Shell (bash). 

Содержание курса

Глава 1

  • Введение. Место веб-приложений в современном мире. Почему веб-приложения все чаще становятся целью злоумышленников? Особые требования, которые предъявляются к безопасности веб-приложений. Обзор OWASP Top 10 2010. Как правильно и неправильно использовать этот рейтинг.
  • Знакомство с инструментальным средством Burp Suite. Выполнение каких задач в процессе тестирования защищенности веб-приложений позволяет автоматизировать данное средство.
  • A1: уязвимости к внедрению кода[1]. Уязвимости к внедрению кода на языке SQL и Shell.
  • A2: уязвимости XSS (Cross Site Scripting).
  • A3: уязвимости, возникающие вследствие некорректной реализации механизма аутентификации и управления сеансами веб-приложения.


Глава 2

  • A4: уязвимости, позволяющие осуществлять неконтролируемый доступ к внутренним объектам веб-приложения напрямую. Возможность обхода каталогов (Path Traversal).
  • A5: уязвимости CSRF (Cross Site Request Forgery).
  • A6: уязвимости, возникающие вследствие неправильной конфигурации веб-приложения и его окружения.
  • A7: уязвимости, связанные с некорректной реализацией криптографических методов защиты информации для хранения критичных данных на стороне сервера.
  • A8: уязвимости механизма авторизации веб-приложений: возможность прямого доступа к ресурсам по URL.
  • A9: недостаточная защищенность транспортного протокола.
  • A10: уязвимости, позволяющие использовать веб-приложение для перенаправления пользователей на любой сайт (Open Redirects).

_________________________________

[1] Для каждого типа уязвимостей рассматриваются:

  • риски, порождаемые наличием уязвимостей данного типа;
  • методы тестирования веб-приложений на наличие уязвимостей даннного типа;
  • автоматизация этих методов с помощью Burp Suite.