Bezpečnost webových aplikací - blok B Bezpečnostní testování webových aplikací v rozsahu OWASP Testing Guide v4
Petr Závodský
8. října 2014
Obsah Úvod................................................................................................................................................. 3 Důležité informace............................................................................................................................ 4 Harmonogram / Náplň kurzu............................................................................................................ 5 Jak začít?......................................................................................................................................... 6
CZ.NIC, z. s. p. o. Americká 23, 120 00 Praha 2
IČ 67985726 DIČ CZ67985726
T +420 222 745 111 M +420 602 684 316
[email protected] www.nic.cz
/6
Úvod Tento volitelný blok kurzu Bezpečnost webových aplikací umožňuje vzdělávat se prostřednictvím online kurzu kombinovaném se samostudiem. Účastník, jenž si vybral rozšiřující téma Bezpečnostní testování webových aplikací v rozsahu OWASP Testing Guide v4 by měl být schopen na konci kurzu provést kompletní bezpečnostní test webové aplikace, ovládat řadu technik bezpečnostního testování, ovládat řadu nástrojů a mít velmi dobrý přehled z oblasti bezpečnosti webových aplikací. Je nutné upozornit na fakt, že téma je velmi rozsáhlé, místy složité. Avšak věříme, že účastník kurzu své úsilí nevzdá a někdy i přes časovou náročnost se s tématem vzdorovitě popere.
CZ.NIC, z. s. p. o. Americká 23, 120 00 Praha 2
IČ 67985726 DIČ CZ67985726
T +420 222 745 111 M +420 602 684 316
[email protected] www.nic.cz 3/6
Důležité informace Zahájení: 9. 10. 1014 Zakončení: •
ověření znalostí: ◦
buď znalostní test ▪
pro získání certifikátu je nutné správně zodpovědět nejméně 80 % otázek (tj. 80 otázek ze 100)
▪
test lze opakovat maximálně 3x
▪
je možné používat jakékoli materiály
▪
závěrečné otázky budou zpřístupněny po absolvování všech částí kurzu
◦
nebo závěrečná práce v rozsahu nejméně 15 normostran k zadaným tématům
◦
praktické ověření znalostí – nalezení vybraných zranitelností v předložené záměrně děravé aplikaci
•
v případě splnění podmínek: získání certifikátu (bude zaslán poštou)
•
maximální termín zakončení 9. 2. 2015 (u jednotlivých témat je uvedena doporučená délka studia – je to jen orientační informace, záleží na vás, jak rychle budete postupovat, důležité je pamatovat na maximální termín zakončení)
Konzultace je možné průběžně provádět prostřednictvím:
•
e-mailu:
[email protected]
•
Skype: petrzavodskycz (doporučuji nejdříve si e-mailem domluvit online Skype chat či konferenci)
Vzdělávací materiály: https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf Rozhraní e-výuky: https://www.skenerwebu.cz/evyuka/ •
zde je možné vyplňovat znalostní testy, případně získávat doplňující materiály
•
zaregistrujte se pomocí https://www.skenerwebu.cz/evyuka/claroline/auth/inscription.php (link na úvodní stránce „Vytvořit uživatelský účet“)
•
během registrace uveďte své skutečné jméno a příjmení, abyste mohl/a být přiřazen ke kurzu Bezpečnostní testování webových aplikací v rozsahu OWASP Testing Guide v4 (OWASPTG).
•
znalostní testy vám budou přiřazovány v průběhu studia, jakmile lektorovi (
[email protected]) potvrdíte, že jste dané téma probrali a že osobně nevnímáte nějaký znalostní problém; v případě, že lektorovi toto nepotvrdíte, po dosažení doporučené délky studia daného tématu (viz dále) vás lektor sám osloví
CZ.NIC, z. s. p. o. Americká 23, 120 00 Praha 2
IČ 67985726 DIČ CZ67985726
T +420 222 745 111 M +420 602 684 316
[email protected] www.nic.cz
4/6
Harmonogram / Náplň kurzu Kurz je rozdělen do pěti bloků. Každý blok (tematická oblast) je zakončen znalostním testem o pěti až deseti otázkách – tento test slouží pouze účastníkovi, tento test není rozhodující pro získání certifikátu. Účastník by měl být schopen zodpovědět následující témata: 1. The OWASP Testing Project Doporučená max. délka studia: 16 hod. ◦
Co je testování
◦
Kdy testovat
◦
Co testovat
◦
Principy testování
◦
Techniky průzkumu
2. The OWASP Testing Framework Doporučená max. délka studia: 16 hod. ◦
Činnosti OWASP Testing Framework
3. Web Application Security Testing Je nejnáročnější částí. A také během studia zabere nejvíce času. Doporučená max. délka studia: 120 hod. Každá níže uvedená oblast je zakončena samostatným znalostním testem. Po zvládnutí všech oblastí je nutné absolvovat komplexní znalostní test. ◦
Základní pojmy (zranitelnost, hrozba aj.)
◦
Information Gathering
◦
Configuration and Deploy Management Testing
◦
Identity Management Testing
◦
Authentication Testing
◦
Authorization Testing
◦
Session Management Testing
◦
Input Validation Testing
◦
Error Handling
◦
Cryptography
◦
Business Logic Testing
◦
Client Side Testing
4. Reporting Doporučená max. délka studia: 8 hod.
CZ.NIC, z. s. p. o. Americká 23, 120 00 Praha 2
IČ 67985726 DIČ CZ67985726
T +420 222 745 111 M +420 602 684 316
[email protected] www.nic.cz
5/6
Jak začít? 1. pokud jste si přečetl/a tento dokument 2. zaregistrujte se do e-výuky https://www.skenerwebu.cz/evyuka/ (lektor vás přiřadí do kurzu) 3. začněte studovat první téma, které je uvedené v předchozí kapitole „Harmonogram / Náplň kurzu“, použijte https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf 4. pokud máte potíže s některým studovaným tématem, obraťte se na lektora 5. jakmile dokončíte studium uceleného tématu (podle výše uvedeného Harmonogramu), oznamte to lektorovi 6. lektor vám přiřadí znalostní test
7. po absolvování testu se pusťte do studia dalšího tématu 8. … viz 4. až 7.
CZ.NIC, z. s. p. o. Americká 23, 120 00 Praha 2
IČ 67985726 DIČ CZ67985726
T +420 222 745 111 M +420 602 684 316
[email protected] www.nic.cz
6/6