Security Testing

在熟悉漏洞和攻擊方法之後，參與者將瞭解安全測試的一般方法和方法，以及可用於揭示特定漏洞的技術。安全測試應從收集有關系統的資訊（ToC，即評估目標）開始，然後進行徹底的威脅建模，揭示所有威脅並對其進行評級，從而得出最合適的風險分析驅動測試計劃。

安全評估可以在 SDLC 的各個步驟進行，因此我們討論了設計審查、代碼審查、偵察和有關系統的資訊收集、測試實施以及測試和強化環境以實現安全部署。詳細介紹了許多安全測試技術，例如污點分析和基於啟發式的代碼審查、靜態代碼分析、動態 Web 漏洞測試或模糊測試。介紹了各種類型的工具，這些工具可用於自動對軟體產品進行安全評估，這也得到了許多練習的支援，我們在其中執行這些工具來分析已經討論過的易受攻擊的代碼。許多現實生活中的案例研究支援更好地瞭解各種脆弱性。

本課程使測試人員和QA人員能夠充分規劃和精確執行安全測試，選擇並使用最合適的工具和技術來發現隱藏的安全漏洞，從而提供可在第二天工作日應用的基本實踐技能。

參加本課程的學員將

• 瞭解安全、IT 安全和安全編碼的基本概念
• 瞭解 OWASP Top Ten 之後的 Web 漏洞，並知道如何避免它們
• 瞭解用戶端漏洞和安全編碼實踐
• 瞭解安全測試方法和方法
• 獲取有關使用安全測試技術和工具的實用知識
• 獲取有關安全編碼實踐的原始程式碼和進一步閱讀材料

觀眾

開發人員、測試人員

• IT 安全和安全編碼
• Web 應用程式安全性
• 用戶端安全性
• 安全測試
• 安全測試技術和工具
• 代碼審查
• 常見編碼錯誤和漏洞
• 偵察和資訊收集
• 測試實現
• 檢查和強化環境
• 案例研究 - Java 中的雙重錯誤
• 案例研究 - Shellshock
• 案例研究 - Heartbleed
• 知識來源