在线应用程序安全测试基础训练

在线应用程序安全测试基础训练

将安全性测试纳入软件开发生命周期是保护你的应用程序和最终用户的最佳方法。本课程为开发人员推荐了可以用来最大程度地降低安全测试的成本和影响,同时最大程度地提高其影响和有效性的工具和技术。在本课程中,讲师Jerod Brennen专注于在线测试,使用安全扫描、渗透测试和漏洞测试来验证代码并发现漏洞。他解释了正向和负向、手动和自动以及生产和非生产测试之间的区别,因此你可以为工作流选择正确的类型。动手部分(包括Fiddler,Burp Suite和OWASP OWTF等流行工具的演示)为你在现实世界中应用课程做了准备。

主题包括:

  • 正向和负向测试
  • OWASP测试指南
  • 手动和自动测试对比
  • 扫描与孤立测试对比
  • 在正确的环境中进行测试
  • 孤立试Web应用程序
  • 规避SIEM
  • 协调红色和蓝色团队
  • OWASP十大漏洞的离线测试

课程信息

  • 英文名称:Online Application Security Testing Essential Training
  • 时长:3小时19分
  • 字幕:英语

课程目录

  1. The importance of online testing
  2. What you should know
  3. Software quality assurance process
  4. Positive testing
  5. Negative testing
  6. SQA metrics
  7. OWASP Testing Guide
  8. Demo: OWASP ZAP
  9. Manual vs. automated testing
  10. Scanning vs. pen testing
  11. Testing in non-production
  12. Testing in production
  13. OSINT gathering
  14. Web app proxies
  15. Demo: Fiddler2
  16. Demo: Burp Suite
  17. Demo: Samurai Web Testing Framework (WTF)
  18. Scoping a web app pen test
  19. Avoiding production impacts
  20. The penetration testing execution standard
  21. Types of pen tests
  22. Web application firewalls
  23. SIEMs
  24. Purple teaming
  25. Demo: OWASP OWTF
  26. The OWASP Top Ten
  27. A1: Injection
  28. A2: Broken authentication
  29. A3: Sensitive data exposure
  30. A4: XML external entities (XXE)
  31. A5: Broken access control
  32. A6: Security misconfiguration
  33. A7: Cross-site scripting (XSS)
  34. A8: Insecure deserialization
  35. A9: Using components with known vulnerabilities
  36. A10: Insufficient logging and monitoring
  37. Next steps

评论