Jednym z elementów definiujących jakość wytwarzanego oprogramowania jest zapewniany przez nie poziom bezpieczeństwa. Warsztaty Testy bezpieczeństwa dla QA mają na celu pokazanie testerom w jaki sposób, nieznacznie poszerzając zakres wykonywanych testów, mogą wykrywać występujące w oprogramowaniu podstawowe podatności. W ramach warsztatu uczestnicy poznają teorię dotyczącą zagadnień związanych z testowaniem bezpieczeństwa aplikacji webowych oraz wykonają ćwiczenia, które pozwolą w praktyce zapoznać się z omawianymi atakami i narzędziami.
Podczas warsztatu:
- poznasz narzędzia przydatne w przeprowadzaniu testów bezpieczeństwa
- dowiesz się, czym jest OWASP
- zdobędziesz wiedzę umożliwiającą przeprowadzanie podstawowych ataków
- poznasz sposoby klasyfikacji rangi zagrożenia i zasady tworzenia dobrych raportów z testów bezpieczeństwa
Wymagania wstępne:
- znajomość obsługi systemu Linux lub Windows i podstawowa obsługa terminala
- doświadczenie w przeprowadzaniu testów manualnych
Podczas warsztatu uczestnicy korzystają z własnych komputerów z systemem Linux, Windows lub MacOS. Wymagana jest instalacja wirtualnej maszyny z systemem Kali Linux w dowolnym menadżerze maszyn wirtualnych. Oprócz tego, każdy z użytkowników jest proszony o zainstalowanie aplikacji webowej Web Goat, która posłuży do przećwiczenia omawianych ataków. Instrukcja instalacji Web Goat oraz Kali Linux zostanie przekazana uczestnikom szkolenia drogą mailową.
Program warsztatu:
- Wprowadzenie
- O mnie
- Jaki jest cel testów bezpieczeństwa?
- Standardy w testach bezpieczeństwa
- OWASP Top10 – na tym się skupiamy
- OWASP Testing Guide
- OWASP ASVS – minimum
- PTES – minimum
- OSSTMM – minimum
- Przypomnienie niezbędnych wiadomości
- Narzędzia przydatne w testach bezpieczeństwa
- Etapy (fazy) przeprowadzenia testów bezpieczeństwa - teoretyczne omówienie
- Rozpoznanie testowanego systemu (rekonesans / OSINT)
- Modelowanie i identyfikacja zagrożeń oraz podatności
- Exploitacja
- Analiza ryzka
- Raportowanie
- Podatności (20 min)
- Czym jest podatność?
- Klasyfikacja podatności.
- Bazy podatności.
- Przegląd najważniejszych podatności: (połączony z samodzielnym wykorzystaniem podatności przez uczestników szkolenia w aplikacji WebGoat)
- Wstrzyknięcia (SQL Injection, XXE)
- Niepoprawna obsługa uwierzytelnienia
- Ujawnienie danych wrażliwych
- XXE
- Nieprawidłowa kontrola dostępu
- Niepoprawna konfiguracja mechanizmów bezpieczeństwa
- XSS
- Niepoprawna deserializacja
- Używanie komponentów ze znanymi podatnościami
- Niedostateczne monitorowanie i tworzenie logów
- Tworzenie dobrego raportu z testów bezpieczeństwa
Rejestracja i dodatkowe informacje: https://stacja.it/warsztaty/2019-10-06-testy-bezpieczenstwa-dla-QA-testerow.html