班级规模及环境--热线:4008699035 手机:15921673576( 微信同号) |
坚持小班授课,为保证培训效果,增加互动环节,每期人数限3到5人。 |
上课时间和地点 |
上课地点:【上海】:同济大学(沪西)/新城金郡商务楼(11号线白银路站) 【深圳分部】:电影大厦(地铁一号线大剧院站)/深圳大学成教院 【北京分部】:北京中山学院/福鑫大楼 【南京分部】:金港大厦(和燕路) 【武汉分部】:佳源大厦(高新二路) 【成都分部】:领馆区1号(中和大道) 【沈阳分部】:沈阳理工大学/六宅臻品 【郑州分部】:郑州大学/锦华大厦 【石家庄分部】:河北科技大学/瑞景大厦 【广州分部】:广粮大厦 【西安分部】:协同大厦
最近开课时间(周末班/连续班/晚班):2024年12月30日 |
实验设备 |
☆资深工程师授课
☆注重质量
☆边讲边练
☆合格学员免费推荐工作
★实验设备请点击这儿查看★ |
质量保障 |
1、培训过程中,如有部分内容理解不透或消化不好,可免费在以后培训班中重听;
2、课程完成后,授课老师留给学员手机和Email,保障培训效果,免费提供半年的技术支持。
3、培训合格学员可享受免费推荐就业机会。 |
课程大纲 |
|
网络安全与OWASP测试框架培训
课程简介
Web安全性概述
- 2013年十大
- 手机十大2016
- 2016年十大主动控制
OWASP测试
- 介绍
- OWASP测试项目
- 测试原理
- 测试技术说明
- 派生安全测试要求
- 安全测试集成在开发和测试工作流程中
- 安全测试数据分析与报告
- OWASP测试框架
- 概观
- 阶段1:开发前开始
- 阶段2:定义和设计期间
- 阶段3:发展中
- 阶段4:部署期间
- 第5阶段:维护和操作
- 典型的SDLC测试工作流程
- Web应用程序安全测试
- 介绍与目标
- 测试清单
- 信息收集
- 进行搜索引擎发现和信息泄露侦察(OTG-INFO-001)
- 指纹网络服务器(OTG-INFO-002)
- 查看Web服务器图文文件以获取信息泄漏(OTG-INFO-003)
- 枚举Web服务器上的应用程序(OTG-INFO-004)
- 审查信息泄漏的网页注释和元数据(OTG-INFO-005)
- 识别应用程序入口点(OTG-INFO-006)
- 通过应用程序映射执行路径(OTG-INFO-007)
- 指纹Web应用程序框架(OTG-INFO-008)
- 指纹网络应用(OTG-INFO-009)
- 地图应用架构(OTG-INFO-010)
- 配置和部署管理测试
- 测试网络/基础架构配置(OTG-CONFIG-001)
- 测试应用平台配置(OTG-CONFIG-002)
- 测试文件扩展名处理敏感信息(OTG-CONFIG-003)
- 查看敏感信息的旧的,备份和未引用的文件(OTG-CONFIG-004)
- 枚举基础架构和应用程序管理界面(OTG-CONFIG-005)
- 测试HTTP方法(OTG-CONFIG-006)
- 测试HTTP严格传输安全(OTG-CONFIG-007)
- 测试RIA跨域策略(OTG-CONFIG-008)
- 身份管理测试
-
验证测试
-
通过加密通道传输的证书测试(OTG-AUTHN-001)
-
测试默认凭据(OTG-AUTHN-002)
-
弱锁定机制测试(OTG-AUTHN-003)
-
测试绕过认证模式(OTG-AUTHN-004)
-
测试记住密码功能(OTG-AUTHN-005)
-
测试浏览器缓存弱点(OTG-AUTHN-006)
-
测试弱密码策略(OTG-AUTHN-007)
-
测试弱安全问题/答案(OTG-AUTHN-008)
-
测试弱密码更改或重置功能(OTG-AUTHN-009)
-
在替代频道(OTG-AUTHN-010)中测试较弱的身份验证
- 授权测试
- 会话管理测试
- 绕过会话管理模式的测试(OTG-SESS-001)
- 测试Cookie属性(OTG-SESS-002)
- 会话固定测试(OTG-SESS-003)
- 测试暴露的会话变量(OTG-SESS-004)
- 跨站点请求伪造(CSRF)测试(OTG-SESS-005)
- 测试注销功能(OTG-SESS-006)
- 测试会话超时(OTG-SESS-007)
- 测试会话困惑(OTG-SESS-008)
- 输入验证测试
-
反映跨站脚本测试(OTG-INPVAL-001)
-
测试存储的跨站脚本(OTG-INPVAL-002)
-
测试HTTP动词篡改(OTG-INPVAL-003)
-
测试HTTP参数污染(OTG-INPVAL-004)
-
SQL注入测试(OTG-INPVAL-005)
- LDAP注入测试(OTG-INPVAL-006)
- ORM注射试验(OTG-INPVAL-007)
- XML注入测试(OTG-INPVAL-008)
- SSI注射试验(OTG-INPVAL-009)
- XPath注入测试(OTG-INPVAL-010)
- IMAP / SMTP注入(OTG-INPVAL-011)
- 代码注入测试(OTG-INPVAL-012)
- 错误处理测试
- 错误码分析(OTG-ERR-001)
- 堆栈跟踪分析(OTG-ERR-002)
- 弱密码学测试
- 测试弱SSL / TLS密码,传输层保护不足(OTG-CRYPST-001)
- 测试填充Oracle(OTG-CRYPST-002)
- 测试通过未加密通道发送的敏感信息(OTG-CRYPST-003)
- 业务逻辑测试
- 测试业务逻辑数据验证(OTG-BUSLOGIC-001)
- 测试能力(OTG-BUSLOGIC-002)
- 测试完整性检查(OTG-BUSLOGIC-003)
- 测试过程时序(OTG-BUSLOGIC-004)
- 可以使用功能的测试次数限制(OTG-BUSLOGIC-005)
- 测试工作流程的规避(OTG-BUSLOGIC-006)
- 测试防范应用程序误用(OTG-BUSLOGIC-007)
- 测试上传意外文件类型(OTG-BUSLOGIC-008)
- 测试恶意文件上传(OTG-BUSLOGIC-009)
- 客户端测试
- 测试基于DOM的跨站脚本(OTG-CLIENT-001)
- JavaScript执行测试(OTG-CLIENT-002)
- HTML注入测试(OTG-CLIENT-003)
- 客户端URL重定向测试(OTG-CLIENT-004)
- CSS注入测试(OTG-CLIENT-005)
- 客户端资源操作测试(OTG-CLIENT-006)
- 测试跨源资源共享(OTG-CLIENT-007)
- 跨站点闪烁测试(OTG-CLIENT-008)
- 劫持测试(OTG-CLIENT-009)
- 测试WebSockets(OTG-CLIENT-010)
- 测试Web消息(OTG-CLIENT-011)
- 测试本地存储(OTG-CLIENT-012)
报告
|