Po zapoznaniu się z podatnościami i metodami ataków, uczestnicy poznają ogólne podejście i metodologię testowania bezpieczeństwa oraz techniki, które można zastosować w celu ujawnienia określonych podatności. Testowanie bezpieczeństwa powinno rozpocząć się od zebrania informacji o systemie (ToC, czyli Target of Evaluation), następnie dokładne modelowanie zagrożeń powinno ujawnić i ocenić wszystkie zagrożenia, dochodząc do najbardziej odpowiedniego planu testów opartego na analizie ryzyka.
Oceny bezpieczeństwa mogą odbywać się na różnych etapach SDLC, dlatego omawiamy przegląd projektu, przegląd kodu, rekonesans i zbieranie informacji o systemie, testowanie implementacji oraz testowanie i wzmacnianie środowiska pod kątem bezpiecznego wdrażania. Szczegółowo przedstawiono wiele technik testowania bezpieczeństwa, takich jak analiza skazy i przegląd kodu oparty na heurystyce, statyczna analiza kodu, dynamiczne testowanie luk w sieci lub fuzzing. Przedstawiono różne rodzaje narzędzi, które można zastosować w celu zautomatyzowania oceny bezpieczeństwa produktów programowych, co jest również wspierane przez szereg ćwiczeń, w których wykorzystujemy te narzędzia do analizy już omówionego podatnego kodu. Wiele rzeczywistych studiów przypadku pomaga lepiej zrozumieć różne podatności.
Kurs ten przygotowuje testerów i personel QA do odpowiedniego planowania i precyzyjnego wykonywania testów bezpieczeństwa, wyboru i korzystania z najbardziej odpowiednich narzędzi i technik w celu znalezienia nawet ukrytych luk w zabezpieczeniach, a tym samym daje niezbędne umiejętności praktyczne, które można zastosować następnego dnia roboczego.
Uczestnicy biorący udział w tym kursie
- Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
- Poznanie luk w zabezpieczeniach sieciowych wykraczających poza OWASP Top Ten i wiedza, jak ich unikać
- Poznanie luk w zabezpieczeniach po stronie klienta i praktyk bezpiecznego kodowania
- Zrozumienie podejść i metodologii testowania bezpieczeństwa
- Zdobądź praktyczną wiedzę na temat korzystania z technik i narzędzi testowania bezpieczeństwa
- Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania
Publiczność
Programiści, Testerzy
- Bezpieczeństwo IT i bezpieczne kodowanie
- Bezpieczeństwo aplikacji internetowych
- Bezpieczeństwo po stronie klienta
- Testowanie bezpieczeństwa
- Techniki i narzędzia testowania bezpieczeństwa
- Przegląd kodu
- Typowe błędy i luki w kodowaniu
- Rozpoznanie i zbieranie informacji
- Testowanie wdrożenia
- Sprawdzanie i wzmacnianie środowiska
- Studium przypadku — podwójny błąd w Java
- Studium przypadku - Shellshock
- Studium przypadku – Krwawienie serca
- Źródła wiedzy
United Arab Emirates - Security Testing
Saudi Arabia - Security Testing
South Africa - Security Testing
Deutschland - Security Testing
Czech Republic - Security Testing
Magyarország - Security Testing
New Zealand - Security Testing
Philippines - Security Testing
Argentina - Pruebas de Seguridad
Costa Rica - Pruebas de Seguridad
Ecuador - Pruebas de Seguridad
Guatemala - Pruebas de Seguridad
Colombia - Pruebas de Seguridad
Uruguay - Pruebas de Seguridad
Venezuela - Pruebas de Seguridad
United Kingdom - Security Testing
South Korea - Security Testing