Vyvíjíte webové aplikace a přemýšlíte o začlenění bezpečnostního testování do jejich životního cyklu? Pak je tento kurz určen právě Vám. Dozvíte se kdy a jak webovou aplikaci efektivně testovat. Naučíte se, jak provádět manuální i automatické testy bezpečnosti a jak vhodně jednotlivé testovací metody kombinovat. Seznámíte se s projektem OWASP, s jeho metodikami a volně dostupnými nástroji. Po absolvování kurzu budete schopni provést samostatně penetrační testy webové aplikace, správně ohodnotit rizika spojená s nalezenými zranitelnostmi, a vystavit závěrečnou zprávu s výsledky bezpečnostního testu. Mimo to se naučíte, jak vhodně evidovat a revidovat bezpečnostní nálezy a jak měřit přínosy zavedení bezpečnostního testování. Podmínkou účasti je absolvování kurzu GOC54.

UPOZORNĚNÍ K CENĚ KURZU:
Cena školení pořádaného v Bratislavě (slovensky) je 1.200 EUR bez DPH - tato cena bude při fakturaci přepočtena aktuálním kurzem.

Toto školení pořádá společnost GOPAS a.s.

Kurz je urcen hlavne vývojárum webových aplikací a zacínajícím penetracním testerum, ale také vedoucím pracovníkum IT (CIO) nebo managementu organizace, který je odpovedný za informacní bezpecnost (CISO).

Úvod do řízení kvality softwaru

• Dopady testování
• Kdy, co a jak testovat
• Zařazení bezpečnostních testů do životního cyklu aplikace
• Modelování hrozeb
• Tvorba testovacích případů a scénářů
• White box vs. black box testování
• Testovací metody a postupy
• Metriky pro měření přínosů bezpečnostních testů

Seznámení s Open Web Application Project (OWASP)

• Přínosy OWASP pro testování webových aplikací
• Zajímavé nástroje
• Doporučené dokumenty a příručky
  • OWASP Testing Guid
  • Application Security Verification Standard (ASVS)

Bezpečnostní testování webových aplikací podle OWASP

• Mapování prostředí
• Mapování webové aplikace
• Testování autentizace
• Testování autorizace
• Testování session managementu
• Testování validace vstupů
• Testování error handleringu
• Testování kryptografie
• Testování obchodní logiky
• Testování klientských operativ

Checklisty pro testování

Automatické testování bezpečnosti

Klasifikace zranitelností

• Common Vulnerability Scoring System (SVSS)

Tvorba závěrečných zpráv