СОБЫТИЯ

OWASP для разработчиков компании

OWASP - это открытый проект обеспечения безопасности веб-приложений.

Дата публикации: 04.07.2017 9:00 | Категория: Тренинг

Программа тренинга:  

 

Теоретическая часть    

1. Основы безопасности веб-приложений: уязвимости, атаки, риски, контроли.  

2. 10 наиболее распространенных атак по версии OWASP:

a. A1 Инъекции:

                       i.      Инъекции кода.

                       ii.      SQL инъекции.

                      iii.      Инъекции команд.  

b. A2 Ошибки в механизме аутентификации и управления сеансами.

c. A3 Межсайтовый скриптинг.

d. A4 Небезопасные прямые ссылки на объекты.

e. A5 Небезопасная конфигурация.

f. A6 Утечка критических данных.

g. A7 Отсутствие контроля доступа к функциональному уровню.

h. A8 Подделка межсайтовых запросов.

i. A9 Использование компонентов с известными уязвимостями.

j. A10 Непроверенные редиректы.  

3. OWASP Security Knowledge Framework.

4. OWASP Testing Guide.

5. OWASP Code Review Guide.

6. OWASP Application Security Verification Standart:

a.  Интеграция ASVS в PHP-проекты.

b. Интеграция ASVS в JavaScript-проекты.  

 

Практическая часть        

1. Лабораторные работы «SQL-инъекции»:  

a. Поиск и использование Simple SQL-injection  .

b. Поиск и использование Blind SQL-injection  .

c. Поиск и использование Double Blind SQL-injection  .

d. Ревизия кода и устранение SQL-injection  .

2. Лабораторные работы «Инъекции кода» :

a. Поиск и использование Remote PHP File Inclusion  .

b. Поиск и использование PHP Function Inclusion  .

c. Поиск и использование Directory Traversal  .

d. Ревизия кода и устранение Remote PHP File Inclusion  .

e. Ревизия кода и устранение PHP Function Inclusion  .

f. Ревизия кода и устранение Directory Traversal  .

3. Лабораторные работы «Инъекции команд»:

a. Поиск и использование Command Injection  .

b. Ревизия кода и устранение Command Injection  .

4. Лабораторные работы «Состояние гонки»  :

a. Поиск и использование Race Condition .

b. Ревизия кода и устранение Race Condition.

5. Лабораторные работы «XSS»:

a. Поиск и использование XSS.

b. Ревизия кода и устранение XSS.  

6. Лабораторные работы «CSRF»:

a. Поиск и использование CSRF.

b. Ревизия кода и устранение CSRF.

7. Лабораторные работы «DOS»:

a. Использование DOS low HTTP queries.

b. Использование DOS NodeJS.  

 

Продолжительность тренинга: 5 дней, 40 часов

Даты проведения: 23.09.2017-27.09.2017

Регистрация

OWASP для разработчиков компании

(*)Обязательные поля

СЛЕДУЮЩИЕ ШАГИ

Отправить запрос

ПОДПИСАТЬСЯ НА РАССЫЛКУ

Для подписки на новостной бюллетень
укажите адрес электронной почты