コース概要

導入

OWASP テスト プロジェクトの探索

  • テストの原則
  • テスト手法
  • セキュリティテスト要件の導出
  • 開発およびテストのワークフローに統合されたセキュリティ テスト
  • セキュリティテストデータの分析とレポート作成

OWASP テスト フレームワークの使用

  • フェーズ 1: 開発が始まる前
  • フェーズ 2: 定義と設計中
  • フェーズ 3: 開発中
  • フェーズ 4: 導入中
  • フェーズ 5: 保守と運用
  • 一般的なライフサイクル テストのワークフロー
  • 侵入テストの方法論

Web アプリケーションのセキュリティをテストする

  • 概要と目的
  • 情報収集
  • 検索エンジンの発見と情報漏洩の偵察を実施する
  • 指紋認証 Web サーバー
  • 情報漏洩がないかWebサーバーのメタファイルを確認する
  • Webサーバー上のアプリケーションを列挙する
  • 情報漏洩がないか Web ページのコンテンツを確認する
  • アプリケーションのエントリポイントを特定する
  • アプリケーションを介した実行パスのマッピング
  • 指紋認証 Web アプリケーション フレームワーク
  • 指紋認証 Web アプリケーション
  • 地図アプリケーションのアーキテクチャ
  • 構成および展開管理のテスト
  • ネットワーク/インフラストラクチャ構成のテスト
  • アプリケーション プラットフォームの構成をテストする
  • 機密情報のファイル拡張子の処理をテストする
  • 古いファイル、バックアップ ファイル、参照されていないファイルの機密情報を確認します。
  • インフラストラクチャとアプリケーションの管理インターフェイスを列挙する
  • HTTPメソッドをテストする
  • HTTP の厳密なトランスポート セキュリティをテストする
  • RIA クロスドメイン ポリシーをテストする
  • ファイルのアクセス許可をテストする
  • サブドメインの乗っ取りをテストする
  • クラウドストレージをテストする

Identity Management テスト

  • テストロールの定義
  • テストユーザー登録プロセス
  • アカウント プロビジョニング プロセスのテスト
  • アカウントの列挙と推測可能なユーザー アカウントのテスト
  • 脆弱なユーザー名ポリシーまたは強制されていないユーザー名ポリシーのテスト

認証テスト

  • 暗号化されたチャネル経由で転送される資格情報のテスト
  • デフォルトの認証情報のテスト
  • 弱いロックアウト機構のテスト
  • 認証スキーマをバイパスするためのテスト
  • 脆弱なパスワードを記憶しているかどうかをテストする
  • ブラウザのキャッシュの弱点をテストする
  • 弱いパスワード ポリシーのテスト
  • 脆弱なセキュリティ質問の回答をテストする
  • 脆弱なパスワード変更またはリセット機能のテスト
  • 代替チャネルでの弱い認証のテスト

認可テスト

  • ディレクトリトラバーサル/ファイルインクルードのテスト
  • 認可スキーマをバイパスするためのテスト
  • 権限昇格のテスト
  • 安全でない直接オブジェクト参照のテスト

セッション Management テスト

  • セッション管理スキーマのテスト
  • Cookie 属性のテスト
  • セッション固定のテスト
  • 公開されたセッション変数のテスト
  • クロスサイトリクエストフォージェリのテスト
  • ログアウト機能のテスト
  • テストセッションのタイムアウト
  • セッションの不可解さのテスト
  • セッションハイジャックのテスト

入力検証テスト

  • リフレクトクロスサイトスクリプティングのテスト
  • 保存されたクロスサイト スクリプティングのテスト
  • HTTP動詞の改ざんをテストする
  • HTTPパラメータ汚染のテスト
  • SQL 注射の検査
  • Oracle のテスト
  • MySQL のテスト
  • SQL サーバーのテスト
  • PostgreSQL のテスト
  • MS の検査 Access
  • NoSQL注射の検査
  • ORM インジェクションのテスト
  • クライアント側のテスト
  • LDAP注射の検査
  • XML 注射の検査
  • SSI インジェクションのテスト
  • XPath 注射の検査
  • IMAP/SMTP インジェクションのテスト
  • コードインジェクションのテスト
  • ローカルファイルのインクルードのテスト
  • リモートファイルのインクルードのテスト
  • コマンドインジェクションのテスト
  • フォーマット文字列インジェクションのテスト
  • 潜在化された脆弱性のテスト
  • HTTP 分割/密輸のテスト
  • HTTP 受信リクエストのテスト
  • ホストヘッダーインジェクションのテスト
  • サーバー側のテンプレート インジェクションのテスト
  • サーバー側のリクエストフォージェリのテスト

エラー処理のテスト

  • 不適切なエラー処理のテスト
  • スタック トレースのテスト

弱い暗号化のテスト

  • 弱いトランスポート層セキュリティのテスト
  • パディングのテスト Oracle
  • 暗号化されていないチャネル経由で送信された機密情報のテスト
  • 暗号化が弱いかどうかのテスト

Business ロジックテスト

  • ビジネスロジックの概要
  • ビジネスロジックデータ検証のテスト
  • リクエストを偽造する能力をテストする
  • 整合性チェックをテストする
  • プロセスのタイミングをテストする
  • 関数の使用回数制限のテスト
  • ワークフローの回避テスト
  • アプリケーションの悪用に対する防御をテストする
  • 予期しないファイルタイプのアップロードをテストする
  • 悪意のあるファイルのアップロードをテストする

クライアント側のテスト

  • DOM ベースのクロスサイト スクリプティングのテスト
  • Javaスクリプト実行のテスト
  • HTML注射の検査
  • クライアント側の URL リダイレクトのテスト
  • CSS注射の検査
  • クライアント側のリソース操作のテスト
  • クロスオリジンリソース共有のテスト
  • クロスサイト フラッシュのテスト
  • クリックジャッキングのテスト
  • WebSocketのテスト
  • Web メッセージングのテスト
  • ブラウザストレージのテスト
  • クロスサイトスクリプトの組み込みのテスト

API Testing

  • テスト GraphQL

報告

  • 導入
  • エグゼクティブサマリー
  • 調査結果
  • 付録

要求

    Web 開発ライフサイクルに関する一般的な理解 Web アプリケーション開発、セキュリティ、テストの経験。

観客

    開発者 エンジニア アーキテクト
  21 時間
 

参加者の人数


開始

完了


Dates are subject to availability and take place between 10:00 and 17:00.
Open Training Courses require 5+ participants.

お客様の声 (1)

関連コース

CRISC - Certified in Risk and Information Systems Control

  21 時間

Microsoft SDL Core

  14 時間

Standard Java Security

  14 時間

Java and Web Application Security

  21 時間

Advanced Java Security

  21 時間

Advanced Java, JEE and Web Application Security

  28 時間

.NET, C# and ASP.NET Security Development

  14 時間

Comprehensive C# and .NET Application Security

  21 時間

Advanced C#, ASP.NET and Web Application Security

  21 時間

関連カテゴリー