Про курс
Автоматизація тестування дозволяє сильно спростити процеси і дає ряд переваг, серед яких можна виділити: підвищення швидкості тестування, зменшення витрат на підтримку, автоматичну генерацію звітів, масштабованість.
Курс «Тестування безпеки веб-застосунків» поєднує в собі теорію та практику. Ви познайомитеся з основами тестування безпеки веб-застосунків та деякими найбільш поширеними вразливостями, притаманними сучасним веб-додаткам, навчитеся використовувати різні спеціалізовані інструменти для виявлення вразливостей та отримаєте знання для усунення та запобігання таким вразливостям у веб-додатках.
За підсумками курсу ви зможете самостійно та повноцінно виконувати завдання тестувальника безпеки веб-застосунків на проекті.
Цей курс входить до спеціальності:
Попередні Вимоги
Знання моделі мережевої взаємодії, розуміння та знання будь-якої мови програмування, загальне розуміння JavaScript, знання SQL.
Буде плюсом: Testing (види тестування, принципи тест-дизайну, тестові артефакти, рівні тестування, вимоги).
Ви навчитеся
- Розуміти основи безпеки веб-застосунків
- Тестувати та виявляти вразливості міжсайтового виконання скриптів (XSS)
- Тестувати та виявляти вразливості SQL-ін'єкцій
- Тестувати та виявляти вразливості автентифікації та контролю доступу
- Тестувати та виявляти вразливості IDOR (прямі вказівники на об'єкти)
- Тестувати та виявляти вразливості конфігурацій веб-застосунків
- Тестувати та виявляти вразливості підробки міжсайтових запитів (CSRF)
- Тестувати та виявляти вразливості у компонентах та бібліотеках веб-застосунків
- Тестувати та виявляти вразливості витоку конфіденційних даних
- Виявляти фішингові атаки та налаштовувати політики CORS
- Планувати та виконувати діяльність щодо тестування безпеки.
- 8 год 30 хв
- 28.10.2022
- 11 з 11
- 28.10.2022
- російська
Що входить до курсу
×
Ви дійсно бажаєте відкрити доступ до тестування за курсом Тестування безпеки веб-застосунків на 40 днів?
Мета уроку – познайомитися з основними поняттями зі світу тестування безпеки веб-застосунків, моделями мережевої взаємодії, видами клієнт-серверної архітектури застосунків, основними загрозами безпеці веб-застосунків.
Мета уроку – познайомитися з XSS атакою, розібрати, які бувають різновиди цих атак, чим вони небезпечні. З'ясувати, що необхідно для успішної реалізації атак міжсайтового виконання скриптів. Визначити способи виявлення вразливості типу XSS у застосунку, навчитися основним методам протидії цим атакам. Отримати практичні навички тестування застосунку на вразливість до атаки XSS.
Мета уроку – познайомитися з атакою SQL-ін'єкцій, розібрати, які бувають різновиди цих атак, чим вони небезпечні. З'ясувати, що необхідно для успішної реалізації атаки. Визначити способи виявлення вразливості в застосунку, навчитися основним методам протидії даним атакам. Отримати практичні навички тестування застосунку на вразливість до атаки ін'єкцій SQL-коду.
Мета уроку – розібратися в термінах "ідентифікація", "аутентифікація", "авторизація" та їх процесах, познайомитися з різними типами аутентифікації, їх ключовими відмінностями один від одного. Познайомитися з найпоширенішими вразливостями в системах аутентифікації та авторизації веб-застосунків, зрозуміти, через що вони виникають, як їх виявляти та як їх усувати. Навчитися застосовувати інструментальні засоби для виявлення вразливостей авторизації та аутентифікації.
Мета уроку – познайомитися з вразливістю IDOR, опанувати навички пошуку даної вразливості в застосунку та отримати рекомендації щодо усунення вразливості.
Мета уроку – познайомитися з вразливістю «Неправильна конфігурація безпеки», поняттям «Конфіденційність даних», відмінностями між шифруванням, кодуванням та хешуванням даних, навчитися шукати прояви вразливості неправильної конфігурації безпеки із застосуванням інструментальних засобів.
Мета уроку – познайомити з атакою Підробки міжсайтових запитів, з архітектурою проведення атаки, розібрати класифікацію таких запитів та зрозуміти, чому вони небезпечні, розглянути приклади атаки, способи тестування та варіанти протидії.
Мета уроку – познайомити з питаннями забезпечення безпеки у використовуваних компонентах, розповісти про інструменти тестування компонентів, що використовуються, і дати рекомендації щодо запобігання інтеграції з вразливими компонентами.
Мета уроку – познайомити з поняттям витоку конфіденційних даних, навчити класифікувати дані застосунку, виявляти можливі місця витоків і дати рекомендації щодо запобігання витоку конфіденційних даних у застосунку.
Мета уроку – познайомити з механізмом роботи перенаправлень у HTTP запитах, розглянути фішинг та запити AJAX, з'ясувати, як захищати програми від фішингових атак.
Мета уроку – познайомити з поняттям тестування безпеки застосунків. Розглянути підходи до тестування вимог безпеки програмного продукту, ознайомитись із видами тестової документації. Розібратися з питанням вибору інструментів для тестування та навчитися планувати роботи з тестування безпеки.