Write Close
Close
Write to us
Telegram
Viber
Messenger
Mail
Phone
пн/ср
19:00 - 21:30
9 человек

Security Testing OWASP TOP 10

Количество угроз и атак на веб ресурсы растет пропорционально развитию сети.
OWASP классифицировали ошибки и уязвимости, что позволяет комплексно и структурно подойти к вопросам защиты web приложений.

6 занятий
Начать обучение можно:
2 December 2019
О курсе
OWASP (Open Web Application Security Project) - некоммерческая организация, которая регулярно анализирует уязвимости и атаки на Web-приложение. Они создали список самых опасных уязвимостей, классифицировали их и назвали - OWASP TOP-10.

Все чаще бизнес и его владельцы обращают внимание на кибербезопасность своих продуктов и соответственно, растет спрос на специалистов, которые знают методы защиты от атак злоумышленников и уязвимости на которые стоит обратить особое внимание.

Этот курс из 6 занятий, по тестированию безопасности (Security Testing), на котором мы разберем каждый из 10 векторов уязвимостей, описанные в OWASP TOP 10, оценим их степени опасности на реальные бизнесы в наших условиях и методы защиты от них.

Стоимость
8100 грн
Программа курса
Занятие 1
Introduction into Security Testing:
  • History security.
  • Hacker attacks.
  • Security testing in SDLC.
  • Tools for Security testing.
  • OWASP TOP 10 - Brief introduction.
A1:Injection:
What it is "Injection" attack. Examples of attacks. Сauses of "Injection" vulnerability. Tools for search SQL injection. Demo and Practice: in search SQL injection Protection Recommendations.
Занятие 2
Discussions about homework
A1:Injection:

  • Discussions about homework

  • Automation tools search SQL injection

A2:Broken Authentication
  • What it is Broken Authentication
  • What it is Brute force
  • Demo and Practice Brute force
  • What it is Session hijecking
  • Demo and Practice Session hijecking
  • What it is Rainbow table
  • Demo and Practice Rainbow table


Занятие 3
Discussions about homework
A3:Sensitive Data Exposure:

  • What it is Sensitive Data Exposure
  • Demo and Practice
A4:XML External Entities (XXE):
  • What it is XXE
  • Demo and Practice
  • How test uploader
  • What it is XXE
A5:Broken Access Control:

  • What it is Broken Access Control
  • Demo and Practice Broken Access Control


Занятие 4
Discussions about homework (10 min)
A7:Cross-Site Scripting (XSS):

  • What is XSS
  • Demo and Practice Reflected
  • Demo and Practice Stored
  • Demo and Practice DOM
  • Best practice
  • Automation tools search XSS


Занятие 5
Discussions about homework
A6:Security Misconfiguration:

  • What is Security Misconfiguration
  • Demo and Practice Security Misconfiguration

A8:Insecure Deserialization:
  • What is Insecure Deserialization
  • Demo and Practice Insecure Deserialization
A10:Insufficient Logging&Monitoring:
  • What is Insufficient Logging&Monitoring
  • Demo and Practice Insecure Deserialization

Занятие 6
Discussions about homework
A9:Using Components with Known Vulnerabilities:

  • What is Using Components with Known Vulnerabilities
  • Scanner Type
  • Demo and Practice Scanner Type
  • Metasploit intro
  • Demo and Practice Metasploit intro
  • CSRF


Что нужно для начала:

1
Опыт тестирования
Middle Manual QA and higher
2
Инструменты, которые будут изучаться на курсе
Sqlmap, Burp Suite, OWASP ZAP, Metasploit, Nmap, Ettercap, Social engineering toolkit, BeEF, Rainbowcrack, Slowloris
Как установить - ТУТ
3
Компьютер
OS Kali Linux or virtualbox with OS Kali Linux
Регистрация на курс
Security Testing OWASP TOP10
E-mail
ФИО
Телефон
Должность
Компания
Откуда узнал (-а) о нас
Комментарий
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности
Святослав Логин
QA gangsta Lead – Evo.company
Больше 7 лет в тестировании.
Больше 4 лет тестирует на наличие Web уязвимостей.
Спикер множественных конференций по тестированию.
Навыки:
- Управление командой из 5 человек
- Приоритизация задач для последующих спринтов
- Составление технического задания для разработки
- Тестирование требований в задаче перед разработкой
- Применение функционального, системного, регрессионного, модульного, юзабилити тестирования
- Также применяет в работе нагрузочное тестирование и тестирование на безопасность
- В функциональное тестирование входят такие модули как Бэкенд и Фронтенд CMS, API этой же платформы для внешних CMS, API для мобильных приложений
- Есть опыт в автоматизированном тестировании веб и нативных мобильных приложений
Технические скилы
Тулзы для нагрузки: Apache jMeter, Locust

Тулзы для безопасности: Sqlmap, Acunetix, Hydra, OWASP ZAP, Burp Suite, Metasploit, Nmap, Whatweb, Ettercap, Wireshark

Тулзы для автоматизации: Appium, Jenkins, Selenium WebDriver

Остальной стек, не знаю куда их притулить)): Kibana, Grafana, Jira, Postman, Pycharm

SVN: Mercurial, Gitlab

Операционные системы: Windows, Linux, Mac OS, IOS, Android

База данных: PostgreSQL


Linkedin
Личный сайт
ул. Шота Руставели 40\10
info@start-it.ua
+380 63 742 50 52
© 2018 StartIT training center