Courses
25 – 26 Мая
(сб/вс)
10:00 –18:30
18+ часов
обучения

Security Testing OWASP TOP 10

Количество угроз и атак на веб ресурсы растет пропорционально развитию сети.
OWASP классифицировали ошибки и уязвимости, что позволяет комплексно и структурно подойти к вопросам защиты web приложений.

О курсе
OWASP (Open Web Application Security Project) - некоммерческая организация, которая регулярно анализирует уязвимости и атаки на Web-приложение. Они создали список самых опасных уязвимостей, классифицировали их и назвали - OWASP TOP-10.

Все чаще бизнес и его владельцы обращают внимание на кибербезопасность своих продуктов и соответственно, растет спрос на специалистов, которые знают методы защиты от атак злоумышленников и уязвимости на которые стоит обратить особое внимание.

На 2-дневном интенсиве по тестированию безопасности (Security Testing) мы разберем каждый из 10 векторов уязвимостей, описанные в OWASP TOP 10, оценим их степени опасности на реальные бизнесы в наших условиях и методы защиты от них.

Стоимость
299$ *
*расчет в гривне по коммерческому курсу на дату оплаты
Программа тренинга
День 1
День 2
1) Introduction into Security Testing:
  • History security.
  • Hacker attacks.
  • Security testing in SDLC.
  • Tools for Security testing.
  • OWASP TOP 10 - Brief introduction.

2) A1:Injection:
  • What it is "Injection" attack.
  • Examples of attacks.
  • Сauses of "Injection" vulnerability.
  • Tools for search SQL injection.
  • Demo and Practice: in search SQL injection
  • Protection Recommendations.

3) A2:Broken Authentication:
  • What it is "Broken Authentication".
  • Examples of attacks.
  • Сauses of "Broken Authentication" vulnerability.
  • Tools for search "Broken Authentication".
  • Demo and Practice: in search "Broken Authentication"
  • Protection Recommendations.
4) A3:Sensitive Data Exposure:
  • What it is "Sensitive Data Exposure".
  • Examples of attacks.
  • Сauses of "Sensitive Data Exposure" vulnerability.
  • Tools for search "Sensitive Data Exposure".
  • Demo and Practice: in search "Sensitive Data Exposure"
  • Protection Recommendations.
5) A4:XML External Entities (XXE):
  • What it is "XML External Entities (XXE)".
  • Examples of attacks.
  • Сauses of "XML External Entities (XXE)" vulnerability.
  • Tools for search "XML External Entities (XXE)".
  • Demo and Practice: in search "XML External Entities (XXE)"
  • Protection Recommendations.
6) A5:Broken Access Control:
  • What it is "Broken Access Control".
  • Examples of attacks.
  • Сauses of "Broken Access Control" vulnerability.
  • Tools for search "Broken Access Control".
  • Demo and Practice: in search "Broken Access Control"
  • Protection Recommendations.
7) A6:Security Misconfiguration:
  • Reminder of the things learned previous day.
  • What it is "Security Misconfiguration" attack.
  • Examples of attacks.
  • Сauses of "Security Misconfiguration" vulnerability.
  • Protection Recommendations.
8) A7: Cross-Site Scripting (XSS):
  • What it is "Cross-Site Scripting (XSS)" attack.
  • Examples of attacks.
  • Сauses of "Cross-Site Scripting (XSS)" vulnerability.
  • Tools for search "Cross-Site Scripting (XSS)".
  • Demo and Practice: in search "Cross-Site Scripting (XSS)"
  • Protection Recommendations.
9) A8:Insecure Deserialization:
  • What it is "Insecure Deserialization".
  • Examples of attacks.
  • Сauses of "Insecure Deserialization" vulnerability.
  • Tools for search "Insecure Deserialization".
  • Demo and Practice: in search "Insecure Deserialization"
  • Protection Recommendations.
10) A9:Using Components with Known Vulnerabilities:
  • What it is?.
  • Examples of attacks
  • Сauses of vulnerability.
  • Tools for search vulnerability.
  • Demo and Practice: in search vulnerability
  • Protection Recommendations.
11) A10:Insufficient Logging & Monitoring:
  • What it is "Insufficient Logging & Monitoring" attack.
  • Examples of attacks.
  • Сauses of "Insufficient Logging & Monitoring" vulnerability.
  • Protection Recommendations.
12) Closing-Up:
  • Conclusions.
  • Literature.
  • Recommendations on further steps.

Что нужно для начала:

1
Опыт тестирования
Middle Manual QA and higher
2
Инструменты, которые будут изучаться на курсе
Sqlmap, Burp Suite, OWASP ZAP, Metasploit, Nmap, Ettercap, Social engineering toolkit, BeEF, Rainbowcrack, Slowloris
Как установить - ТУТ
3
Компьютер
OS Kali Linux or virtualbox with OS Kali Linux
Регистрация на курс
Security Testing OWASP TOP10
Выбери курс:
E-mail
ФИО
Телефон
Должность
Компания
Откуда узнал (-а) о нас
Комментарий
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности
Святослав Логин
QA gangsta Lead – Evo.company
Больше 7 лет в тестировании.
Больше 3 лет тестирует на наличие Web уязвимостей.
Спикер множественных конференций по тестированию.
Навыки:
- Управление командой из 5 человек
- Приоритизация задач для последующих спринтов
- Составление технического задания для разработки
- Тестирование требований в задаче перед разработкой
- Применение функционального, системного, регрессионного, модульного, юзабилити тестирования
- Также применяет в работе нагрузочное тестирование и тестирование на безопасность
- В функциональное тестирование входят такие модули как Бэкенд и Фронтенд CMS, API этой же платформы для внешних CMS, API для мобильных приложений
- Есть опыт в автоматизированном тестировании веб и нативных мобильных приложений


Технические скилы
Тулзы для нагрузки: Apache jMeter, Locust

Тулзы для безопасности: Sqlmap, Acunetix, Hydra, OWASP ZAP, Burp Suite, Metasploit, Nmap, Whatweb, Ettercap, Wireshark

Тулзы для автоматизации: Appium, Jenkins, Selenium WebDriver

Остальной стек, не знаю куда их притулить)): Kibana, Grafana, Jira, Postman, Pycharm

SVN: Mercurial, Gitlab

Операционные системы: Windows, Linux, Mac OS, IOS, Android

База данных: PostgreSQL


Linkedin
Личный сайт
ул. Шота Руставели 40\10
info@start-it.ua
+380 63 742 50 52
© 2018 StartIT training center
Made on
Tilda