Wprowadzenie do testowania bezpieczeństwa dla testerów oprogramowania

Opis szkolenia

Szkolenie przeznaczone jest dla osób zainteresowanych poszerzeniem swojej wiedzy o zagadnienia dotyczące testowania bezpieczeństwa aplikacji webowych oraz dla osób chcących wykorzystać tą wiedzę podczas swojej pracy.

W trakcie szkolenia pojawi się dużo ćwiczeń i przykładów defektów bezpieczeństwa, opracowanych na podstawie doświadczenia zdobytego przez trenera podczas testowania bezpieczeństwa aplikacji. Omówione zostaną przydatne narzędzia wykorzystywane podczas testów wraz z ich niedoskonałościami i ograniczeniami. Słuchacze poznają standardy związane z testowaniem i określaniem wymagań dotyczących bezpieczeństwa aplikacji.

Szkolenie prowadzi trener posiadający kilkuletnie doświadczenie w testowaniu bezpieczeństwa aplikacji.

Konspekt

  1. Wprowadzenie
  • Trendy
  • Jak/kiedy/czemu testować bezpieczeństwo
  • Realia testów bezpieczeństwa

 

  1. Modelowanie zagrożeń
  • Podstawowe pojęcia
  • Istniejące podejścia
  • Ryzyka dla aplikacji webowych i mobilnych

 

  1. Bezpieczeństwo a wymagania
  • Funkcjonalne
  • Niefunkcjonalne

 

  1. Przegląd standardów
  • OWASP ASVS 2013
  • OWASP TOP 10 2013
  • OWASP TOP 10 Mobile Risks
  • OWASP Testing Guide

 

  1. Przydatne narzędzia
  • Firebug, Web Developer, Cookie Swap
  • Fiddler
  • OWASP ZAP
  • OWASP DirBuster

 

  1. Typowe błędy
  • Walidacja danych
  • Błędy w logice biznesowej
  • Uwierzytelnianie/autoryzacja
  • XSS, SQL Injection

 

  1. Aplikacje webowe
  • Podstawy HTTP, SSL
  • Często występujące podatności
  • Techniki testowania

 

  1. Aplikacje mobilne
  • Urządzenie a API po stronie serwera
  • Mechanizmy bezpieczeństwa mobilnych systemów operacyjnych
  • Checklista dla aplikacji mobilnych

 

  1. Testy
  • Budowanie przypadków testowych
  • Automatyzacja – czy to możliwe?
  • Raportowanie

Umiejętności słuchaczy przed szkoleniem:

Wskazane doświadczenie testowaniu lub tworzeniu aplikacji. Mile widziana podstawowa wiedza w zakresie protokołu HTTP.

Umiejętności słuchaczy po szkoleniu:

Szkolenie to poszerzy wiedzę uczestników o podstawowe aspekty dotyczące testowania bezpieczeństwa aplikacji webowych oraz pozwoli na budowanie przypadków testowych związanych z bezpieczeństwem badanych aplikacji.