Course Outline

소개

OWASP 테스트 프로젝트 탐색

  • 테스트의 원리
  • 테스트 기술
  • 보안 테스트 요구사항 도출
  • 개발 및 테스트 워크플로에 통합된 보안 테스트
  • 보안 테스트 데이터 분석 및 보고

OWASP 테스트 프레임워크 작업

  • 1단계: 개발 시작 전
  • 2단계: 정의 및 설계 중
  • 3단계: 개발 중
  • 4단계: 배포 중
  • 5단계: 유지 관리 및 운영
  • 일반적인 수명주기 테스트 워크플로우
  • 침투 테스트 방법론

웹 애플리케이션 보안 테스트

  • 소개 및 목표
  • 정보수집
  • 검색엔진 발굴 및 정보유출 정찰 실시
  • 지문 웹 서버
  • 정보 유출에 대한 웹서버 메타파일 검토
  • 웹 서버의 애플리케이션 열거
  • 정보 유출에 대한 웹페이지 내용 검토
  • 애플리케이션 진입점 식별
  • 애플리케이션을 통한 실행 경로 매핑
  • 지문 웹 애플리케이션 프레임워크
  • 지문인식 웹 애플리케이션
  • 지도 애플리케이션 아키텍처
  • 구성 및 배포 관리 테스트
  • 네트워크/인프라 구성 테스트
  • 테스트 애플리케이션 플랫폼 구성
  • 민감한 정보에 대한 파일 확장자 처리 테스트
  • 민감한 정보가 있는지 오래된 파일, 백업 파일, 참조되지 않은 파일을 검토하세요.
  • 인프라 및 애플리케이션 관리 인터페이스 열거
  • HTTP 메소드 테스트
  • HTTP 엄격한 전송 보안 테스트
  • RIA 교차 도메인 정책 테스트
  • 테스트 파일 권한
  • 하위 도메인 인수 테스트
  • 클라우드 스토리지 테스트

Identity Management 테스트

  • 테스트 역할 정의
  • 사용자 등록 프로세스 테스트
  • 테스트 계정 프로비저닝 프로세스
  • 계정 열거 및 추측 가능한 사용자 계정 테스트
  • 약하거나 시행되지 않는 사용자 이름 정책 테스트

인증 테스트

  • 암호화된 채널을 통해 전송되는 자격 증명 테스트
  • 기본 자격 증명 테스트
  • 약한 잠금 메커니즘 테스트
  • 인증 스키마 우회 테스트
  • 취약한 비밀번호 기억 테스트
  • 브라우저 캐시 약점 테스트
  • 취약한 비밀번호 정책 테스트
  • 취약한 보안 질문 답변 테스트
  • 취약한 비밀번호 변경 또는 재설정 기능 테스트
  • 대체 채널에서 약한 인증 테스트

인증 테스트

  • 디렉터리 탐색/파일 포함 테스트
  • 인증 스키마 우회 테스트
  • 권한 상승 테스트
  • 안전하지 않은 직접 개체 참조 테스트

세션Management 테스트

  • 세션 관리 스키마 테스트
  • 쿠키 속성 테스트
  • 세션 고정 테스트
  • 노출된 세션 변수 테스트
  • 크로스 사이트 요청 위조 테스트
  • 로그아웃 기능 테스트
  • 테스트 세션 시간 초과
  • 세션 수수께끼 테스트
  • 세션 하이재킹 테스트

입력 검증 테스트

  • 반영된 크로스 사이트 스크립팅 테스트
  • 저장된 크로스 사이트 스크립팅 테스트
  • HTTP 동사 변조 테스트
  • HTTP 매개변수 오염 테스트
  • SQL 주입 테스트
  • Oracle에 대한 테스트
  • MySQL에 대한 테스트
  • SQL 서버 테스트
  • PostgreSQL에 대한 테스트
  • MS 테스트 Access
  • NoSQL 주입 테스트
  • ORM 주입 테스트
  • 클라이언트 측 테스트
  • LDAP 주입 테스트
  • XML 주입 테스트
  • SSI 주입 테스트
  • XPath 주입 테스트
  • IMAP/SMTP 주입 테스트
  • 코드 삽입 테스트
  • 로컬 파일 포함 테스트
  • 원격 파일 포함 테스트
  • 명령 주입 테스트
  • 형식 문자열 삽입 테스트
  • 잠복해 있는 취약점 테스트
  • HTTP 분할/밀수 테스트
  • HTTP 수신 요청 테스트
  • 호스트 헤더 삽입 테스트
  • 서버 측 템플릿 삽입 테스트
  • 서버 측 요청 위조 테스트

오류 처리 테스트

  • 부적절한 오류 처리 테스트
  • 스택 추적 테스트

약한 암호화 테스트

  • 취약한 전송 계층 보안 테스트
  • 패딩 테스트 Oracle
  • 암호화되지 않은 채널을 통해 전송된 민감한 정보 테스트
  • 약한 암호화 테스트

Business 논리 테스트

  • 비즈니스 로직 소개
  • 비즈니스 로직 데이터 검증 테스트
  • 요청을 위조하는 능력 테스트
  • 테스트 무결성 검사
  • 프로세스 타이밍 테스트
  • 기능을 사용할 수 있는 횟수 제한 테스트
  • 작업 흐름 우회 테스트
  • 애플리케이션 오용에 대한 방어 테스트
  • 예상치 못한 파일 형식의 업로드 테스트
  • 악성 파일 업로드 테스트

클라이언트 측 테스트

  • DOM 기반 크로스 사이트 스크립팅 테스트
  • Java스크립트 실행 테스트
  • HTML 주입 테스트
  • 클라이언트 측 URL 리디렉션 테스트
  • CSS 주입 테스트
  • 클라이언트 측 리소스 조작 테스트
  • 교차 출처 리소스 공유 테스트
  • 크로스 사이트 플래싱 테스트
  • 클릭재킹 테스트
  • WebSocket 테스트
  • 웹 메시징 테스트
  • 브라우저 저장 공간 테스트
  • 크로스 사이트 스크립트 포함 테스트

API Testing

  • 테스트 GraphQL

보고

  • 소개
  • 요약
  • 결과
  • 부록

Requirements

    웹 개발 라이프사이클에 대한 일반적인 이해 웹 애플리케이션 개발, 보안 및 테스트 경험.

청중

    개발자 엔지니어 건축가
  21 Hours
 

Number of participants


Starts

Ends


Dates are subject to availability and take place between 10:00 and 17:00.
Open Training Courses require 5+ participants.

회원 평가 (1)

Related Courses

CRISC - Certified in Risk and Information Systems Control

  21 Hours

Standard Java Security

  14 Hours

Java and Web Application Security

  21 Hours

Advanced Java Security

  21 Hours

Advanced Java, JEE and Web Application Security

  28 Hours

.NET, C# and ASP.NET Security Development

  14 Hours

Comprehensive C# and .NET Application Security

  21 Hours

Advanced C#, ASP.NET and Web Application Security

  21 Hours

Related Categories