ViralL
Складчик
Тестирование веб-приложений интересно тем, что оно требует наиболее широкого владения различными видами тестирования. Одно из ключевых мест занимает тестирование защищенности (security testing) или проверка отсутствия известных уязвимостей.
Почему тестирование защищенности имеет такое большое значение именно для веб-приложений?
Веб-приложения ориентированы на массовое использование, поэтому сбои в работе, вызванные действиями злоумышленника, могут оказать негативное воздействие на большое количество ни в чём неповинных пользователей.
Веб-приложения могут хранить конфиденциальную информацию, утечка этих данных может иметь очень серьёзные последствия.
Доступ к веб-приложению имеет множество “недоверенных” пользователей, при этом владельцы или разработчики приложения как правило не могут контролировать или ограничивать их действия.
Обмен информацией между браузером и сервером происходит по открытым каналам с использованием открытых протоколов, поэтому сложно контролировать данные, передаваемые клиентами.
Разработка веб-приложений не всегда ведётся с должным вниманием к обеспечению защищенности и надёжности, потому что рынок в первую очередь требует “быстро”!
Разумеется, тестирование защищенности не ограничивается тестированием самого веб-приложения. Уязвимость может находиться в веб-сервере, операционной системе, почтовой системе, ftp-сервере или ещё где-то. Но задача создания защищенного окружения в большей степени находится в зоне ответственности системных администраторов, а вот защищенность вашего собственного веб-приложения -- целиком на совести его разработчиков и тестировщиков.
На тренинге мы рассмотрим как общие принципы компроментации защиты веб-приложений, так и отдельные наиболее распространенные виды уязвимостей, которые могут быть использованы даже не слишком квалифицированным злоумышленником, что существенно повышает вероятность их эксплуатации.
Краткое содержание тренинга:
Основные принципы компроментации защиты веб-приложения:
Атаки на клиент (браузер)
Атаки на сервер
Атаки на сеть
Социальная инженерия
Инструментарий тестировщика
Анализ исходного кода
Анализ данных и структуры запросов
Сканирование (поиск вширь)
Фаззинг (поиск вглубь)
Распространенные атаки на клиент:
обход валидаторов
подделка cookies и перехват сессий
сross-site scripting (XSS)
cross-site request forgery (XSRF)
Распространенные атаки на сервер:
SQL-инъекции
файловые инъекции (внедрение backdoor shell)
командные инъекции (удаленное выполнение команд)
получение доступа к содержимому директорий и файлов
отказ в обслуживании (DoS)
Веб-сервисы (SOAP, REST, JSON API)
[HIDE-POSTS=1]
[/HIDE-POSTS][HIDE-POSTS=37]
https://mega.co.nz/#!MJZ22JKS!GywBXqUfDFG8J7TLDlIKlghmb8Sp2ZaQwNvgt72PsVU
[/HIDE-POSTS]
Почему тестирование защищенности имеет такое большое значение именно для веб-приложений?
Веб-приложения ориентированы на массовое использование, поэтому сбои в работе, вызванные действиями злоумышленника, могут оказать негативное воздействие на большое количество ни в чём неповинных пользователей.
Веб-приложения могут хранить конфиденциальную информацию, утечка этих данных может иметь очень серьёзные последствия.
Доступ к веб-приложению имеет множество “недоверенных” пользователей, при этом владельцы или разработчики приложения как правило не могут контролировать или ограничивать их действия.
Обмен информацией между браузером и сервером происходит по открытым каналам с использованием открытых протоколов, поэтому сложно контролировать данные, передаваемые клиентами.
Разработка веб-приложений не всегда ведётся с должным вниманием к обеспечению защищенности и надёжности, потому что рынок в первую очередь требует “быстро”!
Разумеется, тестирование защищенности не ограничивается тестированием самого веб-приложения. Уязвимость может находиться в веб-сервере, операционной системе, почтовой системе, ftp-сервере или ещё где-то. Но задача создания защищенного окружения в большей степени находится в зоне ответственности системных администраторов, а вот защищенность вашего собственного веб-приложения -- целиком на совести его разработчиков и тестировщиков.
На тренинге мы рассмотрим как общие принципы компроментации защиты веб-приложений, так и отдельные наиболее распространенные виды уязвимостей, которые могут быть использованы даже не слишком квалифицированным злоумышленником, что существенно повышает вероятность их эксплуатации.
Краткое содержание тренинга:
Основные принципы компроментации защиты веб-приложения:
Атаки на клиент (браузер)
Атаки на сервер
Атаки на сеть
Социальная инженерия
Инструментарий тестировщика
Анализ исходного кода
Анализ данных и структуры запросов
Сканирование (поиск вширь)
Фаззинг (поиск вглубь)
Распространенные атаки на клиент:
обход валидаторов
подделка cookies и перехват сессий
сross-site scripting (XSS)
cross-site request forgery (XSRF)
Распространенные атаки на сервер:
SQL-инъекции
файловые инъекции (внедрение backdoor shell)
командные инъекции (удаленное выполнение команд)
получение доступа к содержимому директорий и файлов
отказ в обслуживании (DoS)
Веб-сервисы (SOAP, REST, JSON API)
[HIDE-POSTS=1]
Зарегистрируйтесь чтобы видеть ссылки
[/HIDE-POSTS][HIDE-POSTS=37]
https://mega.co.nz/#!MJZ22JKS!GywBXqUfDFG8J7TLDlIKlghmb8Sp2ZaQwNvgt72PsVU
[/HIDE-POSTS]
Последнее редактирование модератором:
Возможно, Вас ещё заинтересует:
- [Stepik] Курс по WordPress с нуля до результата. Создание сайтов без кода (2024)
- [Александр Сокирка] WordPress FSE. Разработка Блочной Темы (2024)
- [Андрей Громов] Простой способ создать лендинг тариф LP Pro (2024)
- [Дмитрий Фокеев] Создание сайтов и веб дизайн в Tilda. С нуля до результата! (2024)
- [Кирилл Рамирас] Создание доходных сайтов на парсинге с минимальными вложениями (2023)
- AdForest v5.0.3 Nulled - тема WordPress для рекламных объявлений
- [gravityforms] Gravity Forms v2.5.7.3 Rus Nulled - создание форм на сайте WordPress
- [themeforest] Uniq v2.0.6 - Minimal Creative
- [Юлия Литвина] Доскональный WordPress
- [Themeforest] Real Homes v3.14.0 Nulled - тема WordPress для каталога недвижимости
- [codecanyon] Real Media Library v4.13.7 NULLED - продвинутый редактор медиафайлов WordPress
- [Themeforest] Masterstudy v4.1.3 NULLED - шаблон на тему образования WordPress
- WordPress Real Physical Media v1.4.4 NULLED: Physical Media Folders & SEO Rewrites
- [Дмитрий Лаврик] Современная вёрстка - продвинутый курс по HTML и CSS (2023)
- [elegantthemes] Extra v4.12.1 Rus - новостной шаблон для WordPress
- [creativemarket] Modern Water Art Photoshop Action
- [themeforest] Cocoon v1.2.9 - Modern WooCommerce WordPress Theme slivskladchik
- [themeforest] BeTheme v23.0.2 Rus Nulled - многоцелевая тема для WordPress
- [Исмаил Усеинов] [stepik] Верстаем 8 сайтов по макету из Figma в портфолио (2022)
- [Иван Полянин] Как получить домен и хостинг бесплатно и навсегда? (2022)
