离线应用程序安全测试基础训练

离线应用程序安全测试基础训练

将安全性测试纳入软件开发生命周期是保护你的应用程序和最终用户的最佳方法。本课程为开发人员推荐了可以用来最大程度地降低安全测试的成本和影响,同时最大程度地提高其影响和有效性的工具和技术。在本课程中,讲师Jerod Brennen专注于离线测试活动:准备测试计划、策略和其他文档以及进行离线源代码审阅。他还介绍了如何对OWASP十大漏洞进行离线测试。在此过程中,你可以熟悉SDLC中有关安全性的最佳实践。动手部分,以及Codacy和SonarQube等流行工具的演示,为你在现实世界中应用课程做了准备。

主题包括:

  • 安全框架
  • OWASP前十
  • 在成熟度模型中构建安全性(BSIMM)
  • 计划测试项目
  • 创建安全策略
  • 源代码评审
  • 应用程序威胁建模
  • OWASP十大漏洞的离线测试

课程信息

  • 英文名称:Offline Application Security Testing Essential Training
  • 时长:3小时22分
  • 字幕:英语

课程目录

  1. The importance of offline testing
  2. What you should know
  3. Security in the SDLC
  4. Development methodologies
  5. Programming languages
  6. Security frameworks
  7. Intro to the OWASP Top Ten
  8. Other notable OWASP projects
  9. Top 25 Software Errors
  10. BSIMM
  11. Building your test lab
  12. Preparing your checklist
  13. Internal project plans
  14. Communication planning
  15. Change control policy
  16. Security incident response policy
  17. Logging and monitoring policy
  18. Third-party agreements
  19. OWASP ASVS
  20. Challenges of assessing source code
  21. OWASP Code Review Project
  22. Bytecode scanners
  23. Binary code scanners
  24. Code review models
  25. Application threat modeling
  26. Code review metrics
  27. Demo: Codacy
  28. Demo: SonarQube
  29. The OWASP Top Ten
  30. A1: Injection
  31. A2: Broken authentication
  32. A3: Sensitive data exposure
  33. A4: XML external entities (XXE)
  34. A5: Broken access control
  35. A6: Security misconfiguration
  36. A7: Cross-site scripting (XSS)
  37. A8: Insecure deserialization
  38. A9: Using components with known vulnerabilities
  39. A10: Insufficient logging and monitoring
  40. Next steps

评论