1. Новые складчины

    23.03.2017: Теоретический видео курс гадания на картах Таро

    20.03.2017: [Новый поток] Женская система тайм-менеджмента «Успеваю все»

    19.03.2017: INSTASOFT 3.4.3.5

    16.03.2017: Л. Питеркина. Март 2017. Даосские практики для личного благополучия

    15.03.2017: Генеративный коучинг от основателей

    05.03.2017: К. Бордунос. Кризис - лучшее время для Лидера

    03.03.2017: Торт-раскраска

    02.03.2017: К.Бордунос. Альфа-контроль в бизнесе

    02.03.2017: Кен Уилбер. Интегральная духовность

    28.02.2017: Имбилдинг - Кaк cделaть ночи незaбывaемыми

    28.02.2017: Классические многослойные тортики от craftsy

    28.02.2017: SMM: Индустрия моды (SFBA)

    28.02.2017: Раскрытие твоей ценности - 1

    28.02.2017: [Кулинaрия] Шкoла хорoшей хoзяйки

    22.02.2017: Любовь. Секреты разморозки

    21.02.2017: Элитный курс «Психология и психофизиология питания»

    20.02.2017: Шьем купальники для гимнастики

    17.02.2017: Роман Милованов (AWAKENING). Сердце. вебинар

    07.02.2017: swSpyBrowser - интернет мультибраузер в каждой вкладке свои cookies, useragent и IP-адрес

    03.02.2017: Элитный курс «фитнес-нутрициолог»

    26.01.2017: А. Маматов. Депрессия и панические атаки. январь 2017

    26.01.2017: Сергей Домогацкий - Путь

    24.01.2017: Вебинары К. Довлатова по "сказкам" с реинтеграциями

    21.01.2017: Antidetect 6.50.2.2016

    17.01.2017: БроБот 2016.07.13

    16.01.2017: А. Иванов. Веб-аналитика для бизнеса (для чайников)

    12.01.2017: [Дуйко Андрей] Очарование Партнера 2

    07.01.2017: С. Ковалев. книга "Нейропрограммирование успешной судьбы" 2015

    25.12.2016: И. Ледоховский, Р. Мануэль. Мастер гипнотических историй. часть 2 из 3

    23.12.2016: Книга - А. Погорелый. 23 способа как заработать в интернете. 2016

    16.12.2016: И. Ледоховский, Р. Мануэль. Мастер гипнотических историй. часть 1 из 3

    12.12.2016: В. Сибирцев. Избавление от страхов

    08.12.2016: Книга - Маркетинг Дракулы

    02.12.2016: Кен Уилбер. Интегральный буддизм

    02.12.2016: Е. Шморгун. Утренние медитации

    02.12.2016: Е. Шморгун. Первый базовый модуль. Осознанность

    16.11.2016: XMailer III,XServers v1.0,XDomains v1.0

    11.11.2016: И. Ледоховский. Мастерство разговорного гипноза. часть 3

    27.10.2016: Datacol v7.10

    20.10.2016: ОСНОВЫ МОДНОГО БИЗНЕСА. 2016

    15.10.2016: Эзотерический марафон "Новая Я"

    28.09.2016: О.Фролова. Визуальный интеллект. 9 авг 2016

    28.09.2016: ГостьОК 2.0 PRO

    24.09.2016: Софт для накрутки Андроид инсталлов (установок)

    17.09.2016: Д. Богданов - 2016. Матрица здоровья LIVE

    07.09.2016: РегОК RU

    03.09.2016: И. Ледоховский. Мастерство разговорного гипноза. часть 2

    28.08.2016: Английский язык + начальная школа в схемах и таблицах

    24.08.2016: Парсер Яндекс Карт ver 4.3

    16.08.2016: TWIDIUM TWITTER EDITION 1.0.22

    16.08.2016: Парсер 2GIS ver 4.4

    16.08.2016: Оффлайн Парсер 2Гис! Offline Parser 2Gis!

    16.08.2016: Steadfast.SIPflooder Нулл

    15.08.2016: ElcomSoft.Distributed.Password.Recovery.v3.2.959

    15.08.2016: В каждом ребенке солнце

    15.08.2016: Испания. Гастрономия

    15.08.2016: Книги по китайской медицине. Часть 2.

    15.08.2016: Логотип и фирменный стиль. Руководство дизайнера

    15.08.2016: Налоги за 14 дней. Экспресс-курс. Новое, 14-е изд.

    15.08.2016: Голубая точка. Космическое будущее человечества

Раздача Тестирование защищенности веб-приложений

Тема в разделе "[WEB] Программирование, администрирование", создана пользователем Бизон, 5 окт 2014.

  1. TopicStarter Overlay
     
    Бизон
    offline

    Бизон Контент-менеджер Helper VIP

    Сообщения:
    1.095
    Симпатии:
    1.744
    Монеты:
    Репутация:
    296
    http://software-testing.ru/trainings/catalogue/online/223-security

    Тестирование веб-приложений интересно тем, что оно требует наиболее широкого владения различными видами тестирования. Одно из ключевых мест занимает тестирование защищенности (security testing) или проверка отсутствия известных уязвимостей.

    Почему тестирование защищенности имеет такое большое значение именно для веб-приложений?

    Веб-приложения ориентированы на массовое использование, поэтому сбои в работе, вызванные действиями злоумышленника, могут оказать негативное воздействие на большое количество ни в чём неповинных пользователей.
    Веб-приложения могут хранить конфиденциальную информацию, утечка этих данных может иметь очень серьёзные последствия.
    Доступ к веб-приложению имеет множество “недоверенных” пользователей, при этом владельцы или разработчики приложения как правило не могут контролировать или ограничивать их действия.
    Обмен информацией между браузером и сервером происходит по открытым каналам с использованием открытых протоколов, поэтому сложно контролировать данные, передаваемые клиентами.
    Разработка веб-приложений не всегда ведётся с должным вниманием к обеспечению защищенности и надёжности, потому что рынок в первую очередь требует “быстро”!

    Разумеется, тестирование защищенности не ограничивается тестированием самого веб-приложения. Уязвимость может находиться в веб-сервере, операционной системе, почтовой системе, ftp-сервере или ещё где-то. Но задача создания защищенного окружения в большей степени находится в зоне ответственности системных администраторов, а вот защищенность вашего собственного веб-приложения -- целиком на совести его разработчиков и тестировщиков.

    На тренинге мы рассмотрим как общие принципы компроментации защиты веб-приложений, так и отдельные наиболее распространенные виды уязвимостей, которые могут быть использованы даже не слишком квалифицированным злоумышленником, что существенно повышает вероятность их эксплуатации.
    Краткое содержание тренинга:

    Основные принципы компроментации защиты веб-приложения:

    Атаки на клиент (браузер)
    Атаки на сервер
    Атаки на сеть
    Социальная инженерия

    Инструментарий тестировщика

    Анализ исходного кода
    Анализ данных и структуры запросов
    Сканирование (поиск вширь)
    Фаззинг (поиск вглубь)

    Распространенные атаки на клиент:

    обход валидаторов
    подделка cookies и перехват сессий
    сross-site scripting (XSS)
    cross-site request forgery (XSRF)

    Распространенные атаки на сервер:

    SQL-инъекции
    файловые инъекции (внедрение backdoor shell)
    командные инъекции (удаленное выполнение команд)
    получение доступа к содержимому директорий и файлов
    отказ в обслуживании (DoS)

    Веб-сервисы (SOAP, REST, JSON API)

    Скрытое содержимое:
    **Для просмотра скрытого текста/ссылки у вас должно быть не менее 28 сообщений.**
    Или
    Приобрести премиум-доступ ко всем ссылкам



Поделиться этой страницей

DDoS Protection Powered by  DDos-GuarD