Методология тестирования web-приложения

Сентябрь 7, 2022

Главная
Алгебра
Методология тестирования web-приложения

Содержание

2. ИНСТРУМЕНТАРИЙ Kali Linux BlackArch Samurai Web Security Framework Pentest Box SQLmap Dirsearch Nmap Burp Suite
3. КАТЕГОРИИ ТЕСТИРОВАНИЯ Разведка тестирование контроля доступа проверка входных данных тестирование логики приложения изучение инфраструктуры приложения прочие
4. 1. РАЗВЕДКА Пассивная: Google dorks Waybackmachine.org Ipinfo.io 2ip.ru Соц. сети, вакансии Активная: Nmap Dirsearch Nikto, Acunetix,
5. GOOGLE DORKS
6. АКТИВНОЕ СКАНИРОВАНИЕ
7. 2. ТЕСТИРОВАНИЕ КОНТРОЛЯ ДОСТУПА Аутентификация Управление сессиями Контроль доступа
8. 3. ПРОВЕРКА ВХОДНЫХ ДАННЫХ Фаззинг – методика тестирования, при которой на вход программы подаются невалидные, непредусмотренные
9. Тестирование SQL-инъекций Тестирование XSS-уязвимостей Тестирование инъекций в HTTP заголовках Тестирование переадресаций Тестирование инъекций команд ОС Тестирование
10. 4. ТЕСТИРОВАНИЕ ЛОГИКИ ПРИЛОЖЕНИЯ
11. ОШИБКА В ЛОГИКЕ ПРИЛОЖЕНИЯ – ЗАКАЗЫВАЕМ БЕСПЛАТНУЮ ПИЦЦУ =)
12. 5. ИЗУЧЕНИЕ ИНФРАСТРУКТУРЫ ПРИЛОЖЕНИЯ Тестирование разделения в среде виртуального хостинга Тестирование уязвимостей на сервере Проверка стандартных
14. 6. ПРОЧИЕ ТЕСТЫ Тестирование DOM-модели Проверка наличия слабых SSL-шифров Анализ HTTP-заголовков Тестирование знаменитых уязвимостей
16. Скачать презентацию

Слайд 2

ИНСТРУМЕНТАРИЙ
Kali Linux
BlackArch
Samurai Web Security Framework
Pentest Box
SQLmap
Dirsearch
Nmap
Burp Suite

Слайд 3

КАТЕГОРИИ ТЕСТИРОВАНИЯ
Разведка
тестирование контроля доступа
проверка входных данных
тестирование логики приложения
изучение инфраструктуры приложения
прочие тесты.

Слайд 4

1. РАЗВЕДКА
Пассивная:
Google dorks
Waybackmachine.org
Ipinfo.io
2ip.ru
Соц. сети, вакансии
Активная:
Nmap
Dirsearch
Nikto, Acunetix, Vega
Whatweb
Wpscan,
Исходный код
Robots.txt

Слайд 5

GOOGLE DORKS

Слайд 6

АКТИВНОЕ СКАНИРОВАНИЕ

Слайд 7

2. ТЕСТИРОВАНИЕ КОНТРОЛЯ ДОСТУПА
Аутентификация
Управление сессиями
Контроль доступа

Слайд 8

3. ПРОВЕРКА ВХОДНЫХ ДАННЫХ
Фаззинг – методика тестирования, при которой на вход

программы подаются невалидные, непредусмотренные или случайные данные.

Слайд 9

Тестирование SQL-инъекций
Тестирование XSS-уязвимостей
Тестирование инъекций в HTTP заголовках
Тестирование переадресаций
Тестирование инъекций команд ОС
Тестирование

уязвимости Path Traversal
Тестирование HTML/JavaScript-инъекций
Тестирование RFI и LFI
Тестирование SMTP-инъекций
Тестирование SOAP-инъекций
Тестирование LDAP-инъекций
Тестирование XPath-инъекций
Тестирование XXE-инъекций
Тестирование внедрения шаблона

Слайд 10

4. ТЕСТИРОВАНИЕ ЛОГИКИ ПРИЛОЖЕНИЯ

Слайд 11

ОШИБКА В ЛОГИКЕ ПРИЛОЖЕНИЯ – ЗАКАЗЫВАЕМ БЕСПЛАТНУЮ ПИЦЦУ =)

Слайд 12

5. ИЗУЧЕНИЕ ИНФРАСТРУКТУРЫ ПРИЛОЖЕНИЯ
Тестирование разделения в среде виртуального хостинга
Тестирование уязвимостей на

сервере
Проверка стандартных учётных записей
Определение стандартного контента на сайте
Определение опасных HTTP-методов
Тестирование прокси

Слайд 13

Слайд 14

6. ПРОЧИЕ ТЕСТЫ
Тестирование DOM-модели
Проверка наличия слабых SSL-шифров
Анализ HTTP-заголовков
Тестирование знаменитых уязвимостей