×
Ви дійсно бажаєте відкрити доступ до тестування за курсом Тестування безпеки веб-застосунків на 40 днів?
ВІДЕОУРОК № 5. Небезпечні прямі вказівники на об'єкти
Мета уроку – познайомитися з основними поняттями зі світу тестування безпеки веб-застосунків, моделями мережевої взаємодії, видами клієнт-серверної архітектури застосунків, основними загрозами безпеці веб-застосунків.
Мета уроку – познайомитися з XSS атакою, розібрати, які бувають різновиди цих атак, чим вони небезпечні. З'ясувати, що необхідно для успішної реалізації атак міжсайтового виконання скриптів. Визначити способи виявлення вразливості типу XSS у застосунку, навчитися основним методам протидії цим атакам. Отримати практичні навички тестування застосунку на вразливість до атаки XSS.
Мета уроку – познайомитися з атакою SQL-ін'єкцій, розібрати, які бувають різновиди цих атак, чим вони небезпечні. З'ясувати, що необхідно для успішної реалізації атаки. Визначити способи виявлення вразливості в застосунку, навчитися основним методам протидії даним атакам. Отримати практичні навички тестування застосунку на вразливість до атаки ін'єкцій SQL-коду.
Мета уроку – розібратися в термінах "ідентифікація", "аутентифікація", "авторизація" та їх процесах, познайомитися з різними типами аутентифікації, їх ключовими відмінностями один від одного. Познайомитися з найпоширенішими вразливостями в системах аутентифікації та авторизації веб-застосунків, зрозуміти, через що вони виникають, як їх виявляти та як їх усувати. Навчитися застосовувати інструментальні засоби для виявлення вразливостей авторизації та аутентифікації.
Мета уроку – познайомитися з вразливістю IDOR, опанувати навички пошуку даної вразливості в застосунку та отримати рекомендації щодо усунення вразливості.
Мета уроку – познайомитися з вразливістю «Неправильна конфігурація безпеки», поняттям «Конфіденційність даних», відмінностями між шифруванням, кодуванням та хешуванням даних, навчитися шукати прояви вразливості неправильної конфігурації безпеки із застосуванням інструментальних засобів.
Мета уроку – познайомити з атакою Підробки міжсайтових запитів, з архітектурою проведення атаки, розібрати класифікацію таких запитів та зрозуміти, чому вони небезпечні, розглянути приклади атаки, способи тестування та варіанти протидії.
Мета уроку – познайомити з питаннями забезпечення безпеки у використовуваних компонентах, розповісти про інструменти тестування компонентів, що використовуються, і дати рекомендації щодо запобігання інтеграції з вразливими компонентами.
Мета уроку – познайомити з поняттям витоку конфіденційних даних, навчити класифікувати дані застосунку, виявляти можливі місця витоків і дати рекомендації щодо запобігання витоку конфіденційних даних у застосунку.
Мета уроку – познайомити з механізмом роботи перенаправлень у HTTP запитах, розглянути фішинг та запити AJAX, з'ясувати, як захищати програми від фішингових атак.
Мета уроку – познайомити з поняттям тестування безпеки застосунків. Розглянути підходи до тестування вимог безпеки програмного продукту, ознайомитись із видами тестової документації. Розібратися з питанням вибору інструментів для тестування та навчитися планувати роботи з тестування безпеки.