آموزش تست امنیت برنامه آفلاین
Offline Application Security Testing Essential Training
نکته:
آخرین آپدیت رو دریافت میکنید حتی اگر این محتوا بروز نباشد.
نمونه ویدیوها:
موضوعات شامل:
- چارچوب های امنیتی
- ده برتر OWASP
- امنیت ساختمان در مدل بلوغ (BSIMM)
- برنامه ریزی پروژه های آزمایشی خود
- ایجاد سیاست های امنیتی
- بررسی کد منبع
- مدل تهدید برنامه
- تست آفلاین برای ده آسیب پذیری برتر OWASP
سرفصل ها و درس ها
مقدمه Introduction
-
اهمیت تست آفلاین The importance of offline testing
-
آنچه باید بدانید What you should know
1. تمرینهای پیشرو 1. Leading Practices
-
امنیت در SDLC Security in the SDLC
-
روش های توسعه Development methodologies
-
زبانهای برنامه نویسی Programming languages
-
چارچوب های امنیتی Security frameworks
-
معرفی به ده برتر OWASP Intro to the OWASP Top Ten
-
سایر پروژه های قابل توجه OWASP Other notable OWASP projects
-
25 خطای برتر نرم افزار Top 25 Software Errors
-
BSIMM BSIMM
-
آزمایشگاه آزمایش خود را بسازید Building your test lab
-
تهیه لیست چک Preparing your checklist
2. مستندات امنیتی 2. Security Documentation
-
برنامه های پروژه داخلی Internal project plans
-
برنامه ریزی ارتباطات Communication planning
-
سیاست کنترل را تغییر دهید Change control policy
-
سیاست پاسخ حادثه امنیتی Security incident response policy
-
سیاست ورود به سیستم و نظارت Logging and monitoring policy
-
توافق نامه های شخص ثالث Third-party agreements
-
OWASP ASVS OWASP ASVS
3. بررسیهای امنیتی کد منبع 3. Source Code Security Reviews
-
چالش های ارزیابی کد منبع Challenges of assessing source code
-
پروژه نقد و بررسی کد OWASP OWASP Code Review Project
-
اسکنرهای بایکد Bytecode scanners
-
اسکنر کد باینری Binary code scanners
-
مدل های بررسی کد Code review models
-
مدل سازی تهدید برنامه Application threat modeling
-
معیارهای مرور کد Code review metrics
-
نسخه ی نمایشی: کدگذاری Demo: Codacy
-
نسخه ی نمایشی: SonarQube Demo: SonarQube
4. تست آفلاین برای ده برتر OWASP (2017) 4. Offline Testing for the OWASP Top Ten (2017)
-
ده نفر برتر OWASP The OWASP Top Ten
-
A1: تزریق A1: Injection
-
A2: تأیید اعتبار A2: Broken authentication
-
A3: قرار گرفتن در معرض داده های حساس A3: Sensitive data exposure
-
A4: اشخاص خارجی XML (XXE) A4: XML external entities (XXE)
-
A5: کنترل دسترسی شکسته A5: Broken access control
-
A6: تنظیم نادرست امنیتی A6: Security misconfiguration
-
A7: برنامه نویسی متقاطع (XSS) A7: Cross-site scripting (XSS)
-
A8: محاصره ناامن A8: Insecure deserialization
-
A9: استفاده از مؤلفه هایی با آسیب پذیریهای شناخته شده A9: Using components with known vulnerabilities
-
A10: ورود به سیستم و نظارت کافی A10: Insufficient logging and monitoring
نتیجه Conclusion
-
مراحل بعدی Next steps
https://donyad.com/d/d3bf
Jerod Brennen
معمار امنیت، مشاور، سخنران، معلم
جرود برنن یک معمار امنیتی، مشاور، سخنران و معلم است. او بیش از 20 سال تجربه infosec دارد.
جرود بر کمک به مردم برای بهبود امنیت فناوریها و فرآیندهای تجاری در سازمانهایشان تمرکز دارد. او چه به عنوان مشاور، مدیر یا متخصص خدمت کند، بر مدیریت ریسک اطلاعات تمرکز دارد و به طور منظم در کنفرانس های infosec ارائه می دهد. Jerod دارای تجربه عملی در امنیت برنامه، تجزیه و تحلیل کسب و کار، انطباق، مدیریت دسترسی، تست نفوذ، ارزیابی ریسک، معماری امنیتی، واکنش به حادثه، و برنامه ریزی استراتژیک است.
جرود بر کمک به مردم برای بهبود امنیت فناوریها و فرآیندهای تجاری در سازمانهایشان تمرکز دارد. او چه به عنوان مشاور، مدیر یا متخصص خدمت کند، بر مدیریت ریسک اطلاعات تمرکز دارد و به طور منظم در کنفرانس های infosec ارائه می دهد. Jerod دارای تجربه عملی در امنیت برنامه، تجزیه و تحلیل کسب و کار، انطباق، مدیریت دسترسی، تست نفوذ، ارزیابی ریسک، معماری امنیتی، واکنش به حادثه، و برنامه ریزی استراتژیک است.
نمایش نظرات