Методология тестирования web-приложения

Февраль 26, 2021

Главная
Информатика
Методология тестирования web-приложения

Содержание

2. ИНСТРУМЕНТАРИЙ Kali Linux BlackArch Samurai Web Security Framework Pentest Box SQLmap Dirsearch Nmap Burp Suite
3. КАТЕГОРИИ ТЕСТИРОВАНИЯ Разведка тестирование контроля доступа проверка входных данных тестирование логики приложения изучение инфраструктуры приложения прочие
4. 1. РАЗВЕДКА Пассивная: Google dorks Waybackmachine.org Ipinfo.io 2ip.ru Соц. сети, вакансии Активная: Nmap Dirsearch Nikto, Acunetix,
5. GOOGLE DORKS
6. АКТИВНОЕ СКАНИРОВАНИЕ
7. 2. ТЕСТИРОВАНИЕ КОНТРОЛЯ ДОСТУПА Аутентификация Управление сессиями Контроль доступа
8. 3. ПРОВЕРКА ВХОДНЫХ ДАННЫХ Фаззинг – методика тестирования, при которой на вход программы подаются невалидные, непредусмотренные
9. Тестирование SQL-инъекций Тестирование XSS-уязвимостей Тестирование инъекций в HTTP заголовках Тестирование переадресаций Тестирование инъекций команд ОС Тестирование
10. 4. ТЕСТИРОВАНИЕ ЛОГИКИ ПРИЛОЖЕНИЯ
11. ОШИБКА В ЛОГИКЕ ПРИЛОЖЕНИЯ – ЗАКАЗЫВАЕМ БЕСПЛАТНУЮ ПИЦЦУ =)
12. 5. ИЗУЧЕНИЕ ИНФРАСТРУКТУРЫ ПРИЛОЖЕНИЯ Тестирование разделения в среде виртуального хостинга Тестирование уязвимостей на сервере Проверка стандартных
14. 6. ПРОЧИЕ ТЕСТЫ Тестирование DOM-модели Проверка наличия слабых SSL-шифров Анализ HTTP-заголовков Тестирование знаменитых уязвимостей
16. Скачать презентацию

Слайд 2

ИНСТРУМЕНТАРИЙ
Kali Linux
BlackArch
Samurai Web Security Framework
Pentest Box
SQLmap
Dirsearch
Nmap
Burp Suite

ИНСТРУМЕНТАРИЙ Kali Linux BlackArch Samurai Web Security Framework Pentest Box SQLmap Dirsearch Nmap Burp Suite

Слайд 3

КАТЕГОРИИ ТЕСТИРОВАНИЯ
Разведка
тестирование контроля доступа
проверка входных данных
тестирование логики приложения
изучение инфраструктуры приложения
прочие тесты.

КАТЕГОРИИ ТЕСТИРОВАНИЯ Разведка тестирование контроля доступа проверка входных данных тестирование логики приложения

Слайд 4

1. РАЗВЕДКА
Пассивная:
Google dorks
Waybackmachine.org
Ipinfo.io
2ip.ru
Соц. сети, вакансии
Активная:
Nmap
Dirsearch
Nikto, Acunetix, Vega
Whatweb
Wpscan,
Исходный код
Robots.txt

1. РАЗВЕДКА Пассивная: Google dorks Waybackmachine.org Ipinfo.io 2ip.ru Соц. сети, вакансии Активная:

Слайд 5

GOOGLE DORKS

GOOGLE DORKS

Слайд 6

АКТИВНОЕ СКАНИРОВАНИЕ

АКТИВНОЕ СКАНИРОВАНИЕ

Слайд 7

2. ТЕСТИРОВАНИЕ КОНТРОЛЯ ДОСТУПА
Аутентификация
Управление сессиями
Контроль доступа

2. ТЕСТИРОВАНИЕ КОНТРОЛЯ ДОСТУПА Аутентификация Управление сессиями Контроль доступа

Слайд 8

3. ПРОВЕРКА ВХОДНЫХ ДАННЫХ
Фаззинг – методика тестирования, при которой на вход программы

3. ПРОВЕРКА ВХОДНЫХ ДАННЫХ Фаззинг – методика тестирования, при которой на вход

подаются невалидные, непредусмотренные или случайные данные.

Слайд 9

Тестирование SQL-инъекций
Тестирование XSS-уязвимостей
Тестирование инъекций в HTTP заголовках
Тестирование переадресаций
Тестирование инъекций команд ОС
Тестирование уязвимости

Тестирование SQL-инъекций Тестирование XSS-уязвимостей Тестирование инъекций в HTTP заголовках Тестирование переадресаций Тестирование

Path Traversal
Тестирование HTML/JavaScript-инъекций
Тестирование RFI и LFI
Тестирование SMTP-инъекций
Тестирование SOAP-инъекций
Тестирование LDAP-инъекций
Тестирование XPath-инъекций
Тестирование XXE-инъекций
Тестирование внедрения шаблона

Слайд 10

4. ТЕСТИРОВАНИЕ ЛОГИКИ ПРИЛОЖЕНИЯ

4. ТЕСТИРОВАНИЕ ЛОГИКИ ПРИЛОЖЕНИЯ

Слайд 11

ОШИБКА В ЛОГИКЕ ПРИЛОЖЕНИЯ – ЗАКАЗЫВАЕМ БЕСПЛАТНУЮ ПИЦЦУ =)

ОШИБКА В ЛОГИКЕ ПРИЛОЖЕНИЯ – ЗАКАЗЫВАЕМ БЕСПЛАТНУЮ ПИЦЦУ =)

Слайд 12

5. ИЗУЧЕНИЕ ИНФРАСТРУКТУРЫ ПРИЛОЖЕНИЯ
Тестирование разделения в среде виртуального хостинга
Тестирование уязвимостей на сервере
Проверка

5. ИЗУЧЕНИЕ ИНФРАСТРУКТУРЫ ПРИЛОЖЕНИЯ Тестирование разделения в среде виртуального хостинга Тестирование уязвимостей

стандартных учётных записей
Определение стандартного контента на сайте
Определение опасных HTTP-методов
Тестирование прокси

Слайд 13

Слайд 14

6. ПРОЧИЕ ТЕСТЫ
Тестирование DOM-модели
Проверка наличия слабых SSL-шифров
Анализ HTTP-заголовков
Тестирование знаменитых уязвимостей

6. ПРОЧИЕ ТЕСТЫ Тестирование DOM-модели Проверка наличия слабых SSL-шифров Анализ HTTP-заголовков Тестирование знаменитых уязвимостей