Методология тестирования web-приложения

Содержание

Слайд 2

ИНСТРУМЕНТАРИЙ

Kali Linux
BlackArch
Samurai Web Security Framework
Pentest Box
SQLmap
Dirsearch
Nmap
Burp Suite

ИНСТРУМЕНТАРИЙ Kali Linux BlackArch Samurai Web Security Framework Pentest Box SQLmap Dirsearch Nmap Burp Suite

Слайд 3

КАТЕГОРИИ ТЕСТИРОВАНИЯ

Разведка
тестирование контроля доступа
проверка входных данных
тестирование логики приложения
изучение инфраструктуры приложения
прочие тесты.

КАТЕГОРИИ ТЕСТИРОВАНИЯ Разведка тестирование контроля доступа проверка входных данных тестирование логики приложения

Слайд 4

1. РАЗВЕДКА

Пассивная:
Google dorks
Waybackmachine.org
Ipinfo.io
2ip.ru
Соц. сети, вакансии

Активная:
Nmap
Dirsearch
Nikto, Acunetix, Vega
Whatweb
Wpscan,
Исходный код
Robots.txt

1. РАЗВЕДКА Пассивная: Google dorks Waybackmachine.org Ipinfo.io 2ip.ru Соц. сети, вакансии Активная:

Слайд 5

GOOGLE DORKS

GOOGLE DORKS

Слайд 6

АКТИВНОЕ СКАНИРОВАНИЕ

АКТИВНОЕ СКАНИРОВАНИЕ

Слайд 7

2. ТЕСТИРОВАНИЕ КОНТРОЛЯ ДОСТУПА

Аутентификация
Управление сессиями
Контроль доступа

2. ТЕСТИРОВАНИЕ КОНТРОЛЯ ДОСТУПА Аутентификация Управление сессиями Контроль доступа

Слайд 8

3. ПРОВЕРКА ВХОДНЫХ ДАННЫХ

Фаззинг – методика тестирования, при которой на вход программы

3. ПРОВЕРКА ВХОДНЫХ ДАННЫХ Фаззинг – методика тестирования, при которой на вход
подаются невалидные, непредусмотренные или случайные данные.

Слайд 9

Тестирование SQL-инъекций
Тестирование XSS-уязвимостей
Тестирование инъекций в HTTP заголовках
Тестирование переадресаций
Тестирование инъекций команд ОС
Тестирование уязвимости

Тестирование SQL-инъекций Тестирование XSS-уязвимостей Тестирование инъекций в HTTP заголовках Тестирование переадресаций Тестирование
Path Traversal
Тестирование HTML/JavaScript-инъекций
Тестирование RFI и LFI
Тестирование SMTP-инъекций
Тестирование SOAP-инъекций
Тестирование LDAP-инъекций
Тестирование XPath-инъекций
Тестирование XXE-инъекций
Тестирование внедрения шаблона

Слайд 10

4. ТЕСТИРОВАНИЕ ЛОГИКИ ПРИЛОЖЕНИЯ

4. ТЕСТИРОВАНИЕ ЛОГИКИ ПРИЛОЖЕНИЯ

Слайд 11

ОШИБКА В ЛОГИКЕ ПРИЛОЖЕНИЯ – ЗАКАЗЫВАЕМ БЕСПЛАТНУЮ ПИЦЦУ =)

ОШИБКА В ЛОГИКЕ ПРИЛОЖЕНИЯ – ЗАКАЗЫВАЕМ БЕСПЛАТНУЮ ПИЦЦУ =)

Слайд 12

5. ИЗУЧЕНИЕ ИНФРАСТРУКТУРЫ ПРИЛОЖЕНИЯ

Тестирование разделения в среде виртуального хостинга
Тестирование уязвимостей на сервере
Проверка

5. ИЗУЧЕНИЕ ИНФРАСТРУКТУРЫ ПРИЛОЖЕНИЯ Тестирование разделения в среде виртуального хостинга Тестирование уязвимостей
стандартных учётных записей
Определение стандартного контента на сайте
Определение опасных HTTP-методов
Тестирование прокси

Слайд 14

6. ПРОЧИЕ ТЕСТЫ

Тестирование DOM-модели
Проверка наличия слабых SSL-шифров
Анализ HTTP-заголовков
Тестирование знаменитых уязвимостей

6. ПРОЧИЕ ТЕСТЫ Тестирование DOM-модели Проверка наличия слабых SSL-шифров Анализ HTTP-заголовков Тестирование знаменитых уязвимостей
Имя файла: Методология-тестирования-web-приложения.pptx
Количество просмотров: 48
Количество скачиваний: 0