Security Testing

Стоимость курса

6900 грн

Длительность курса

7 занятий

пн/ср

Открыт набор в группы

16.08.21, 16:00

Дни занятий

О курсе

OWASP (Open Web Application Security Project) - некоммерческая ор ганизация, которая регулярно анализирует уязвимости и атаки на Web-приложение. Они создали список самых опасных уязвимостей, классифицировали их и назвали - OWASP TOP-10.


Все чаще бизнес и его владельцы обращают внимание на кибербезопасность своих продуктов и соответственно, растет спрос на специалистов, которые знают методы защиты от атак злоумышленников и уязвимости на которые стоит обратить особое внимание.

back

Курс позволяет комплексно и структурно подойти к вопросам защиты web приложений.

Программа

  • Занятие 1

Настройка тестовой среды и знакомство с участниками


  • Занятие 2

Introduction into Security Testing:
- History security.
- Hacker attacks.
- Security testing in SDLC.
- Tools for Security testing.
- OWASP TOP 10 - Brief introduction.

A1:Injection:
- What it is "Injection" attack.
- HTML injection.
Demo + Practice.
- SQL injection.
Demo + Practice.
- OS command injection.
Demo + Practice wirh Burp Suite.
- XML injection
Demo + Practice.

  • Занятие 3

A1:Injection:
- Tools for search SQL injection.
Demo and Practice with SQLmap and Burp Suite.
- Protection Recommendations.
A2:Broken Authentication:
- What it is "Broken Authentication".
- What it is Brute force.
Demo + Practice with Burp Suite and Hydra.
- What it is Session hijecking.
- What it is flag Http_only and Secure.
Demo + Practice with Burp Suite
- What it is Rainbow table.
Demo + Practice with Rainbowcrack and Hashcat.
- Protection Recommendations.

  • Занятие 4

A3:Sensitive Data Exposure: Now A4 place in 2021
- What it is "Sensitive Data Exposure".
- Сauses of "Sensitive Data Exposure" vulnerability.
Demo and Practice with Wireshark and Ettercap
- Protection Recommendations.
A4:XML External Entities (XXE): Now A5 place in 2021
- What it is "XML External Entities (XXE)".
Demo and Practice with Burp Suite and MsfVenom.
- Protection Recommendations.
A5:Broken Access Control: Now A6 place in 2021
- What it is "Broken Access Control".
- Examples of attacks.
Demo and Practice with Burp Suite
- Protection Recommendations.

  • Занятие 5

A7: Cross-Site Scripting (XSS): Now A3 place in 2021
- What it is Reflected.
Demo + Practice.
- What it is Stored.
Demo + Practice.
- What it is DOM XSS.
Demo + Practice with Beef.
- Tools for search XSS - OWASP ZAP and Burp Suite.
- Protection Recommendations.

  • Занятие 6

A9:Using Components with Known Vulnerabilities:
- What it is?.
- Scanner Type.
- Why need to do scan?
Demo and Practice with Nmap and Toolkit.
- What it is Metasploit
Demo and Practice with Metasploit
- Protection Recommendations.

  • Занятие 7

A6:Security Misconfiguration: Now A10 place in 2021
- What it is "Security Misconfiguration" attack.
Demo + Practice with Slowloris.
- Protection Recommendations.
A8:Insecure Deserialization: Merged with XXE A5
- What it is "Insecure Deserialization".
Demo and Practice with Burp Suite
- Protection Recommendations.
A10:Insufficient Logging & Monitoring: Now A7 place in 2021
- What it is Insufficient Logging & Monitoring" attack.
- Сauses of "Insufficient Logging & Monitoring" vulnerability.
- Protection Recommendations.

NEW in 2021 A8 Server Side Request Forgery (SSRF)
- What it is CSRF.
Demo and Practice.
- Protection Recommendations.
Cross-Site Request Forgery (CSRF): Bonus
- What it is CSRF.
Demo and Practice.
- Protection Recommendations.

Этот курс полезен

Этот курс из 7 занятий, по тестированию безопасности (Security Testing), на котором мы разберем каждый из 10 векторов уязвимостей, описанные в OWASP TOP 10 уже в обновленной версии 2021, оценим их степени опасности на реальные бизнесы в наших условиях и методы защиты от них.

Для курса необходимо


  • Опыт тестирования

Middle Manual QA and higher

  • Инструменты, которые будут изучаться на курсе

Sqlmap, Burp Suite, OWASP ZAP, Metasploit, Nmap, Ettercap, Social engineering toolkit, BeEF, Rainbowcrack, Slowloris
Как установить - ТУТ

  • Компьютер

OS Kali Linux or virtualbox with OS Kali Linux

Оставьте заявку
Откуда вы о нас узнали
Как с вами связаться
 
Святослав Логин

- Управление командой из 5 человек
- Приоритизация задач для последующих спринтов
- Составление технического задания для разработки
- Тестирование требований в задаче перед разработкой
- Применение функционального, системного, регрессионного, модульного, юзабилити тестирования
- Также применяет в работе нагрузочное тестирование и тестирование на безопасность
- В функциональное тестирование входят такие модули как Бэкенд и Фронтенд CMS, API этой же платформы для внешних CMS, API для мобильных приложений
- Есть опыт в автоматизированном тестировании веб и нативных мобильных приложений

Святослав Логин