Broken Access Control: Opis podatności i jej wpływ
🔓 Opis podatności
Broken Access Control: Metody testowania podatności
Cel rozdziału
Broken Access Control: Weryfikacja konfiguracji aplikacji i serwera
Cel rozdziału
Narzędzia do testowania
Cel rozdziału
Praktyczne ćwiczenie: Testowanie i mitigacja podatności Broken Access Control
Cel ćwiczenia
3.2.1 – Cryptographic Failures: Opis podatności i jej wpływ
Czym są Cryptographic Failures?
3.2.2 – Metody testowania podatności: Cryptographic Failures
Cel sekcji
3.2.3 – Weryfikacja konfiguracji aplikacji i serwera: Cryptographic Failures
Cel sekcji
3.2.4 – Narzędzia do testowania: Cryptographic Failures
Cel sekcji
Praktyczne ćwiczenie: Testowanie i mitigacja
Cel ćwiczenia
3.3.1 – Opis podatności i jej wpływ
💉 Czym jest Injection?
3.3.2 – Metody testowania podatności
Cel sekcji
3.3.3 – Weryfikacja konfiguracji aplikacji i serwera
Cel sekcji
3.3.4 – Narzędzia do testowania
Cel sekcji
3.3.5 – Praktyczne ćwiczenie: Testowanie i mitigacja
Cel ćwiczenia
3.4.1 – Opis podatności i jej wpływ
Czym jest Insecure Design?
3.4.2 – Metody testowania podatności
Cel sekcji
3.4.3 – Weryfikacja konfiguracji aplikacji i serwera
Cel sekcji
3.4.4 – Narzędzia do testowania
Cel sekcji
3.4.5 – Praktyczne ćwiczenie: Testowanie i mitigacja
Cel ćwiczenia
3.5.1 – Opis podatności i jej wpływ
Czym jest Security Misconfiguration?
3.5.2 – Metody testowania podatności
Jak testować Security Misconfiguration?
3.5.3 – Weryfikacja konfiguracji aplikacji i serwera
Obszary konfiguracji do weryfikacji
3.5.4 – Narzędzia do testowania
Narzędzia do testowania Security Misconfiguration
3.5.5 – Praktyczne ćwiczenie: Testowanie i mitigacja
Cel ćwiczenia
3.6.1 – Opis podatności i jej wpływ
📦 A06:2025 – Vulnerable and Outdated Components
3.6.2 – Metody testowania podatności
Metody testowania podatności: Vulnerable and Outdated Components
3.6.3 – Weryfikacja konfiguracji aplikacji i serwera
Weryfikacja konfiguracji aplikacji i serwera
3.6.4 – Narzędzia do testowania
Narzędzia do testowania: Vulnerable and Outdated Components
3.6.5 – Praktyczne ćwiczenie: Testowanie i mitigacja
Cel ćwiczenia
3.7.1 – Opis podatności i jej wpływ
A07:2025 – Identification and Authentication Failures
3.7.2 – Metody testowania podatności
Metody testowania: Identification and Authentication Failures
3.7.3 – Weryfikacja konfiguracji aplikacji i serwera
Weryfikacja konfiguracji aplikacji i serwera
3.7.4 – Narzędzia do testowania
Narzędzia do testowania: Identification and Authentication Failures
Praktyczne ćwiczenie: Testowanie i mitigacja
Cel ćwiczenia
3.8.1 – Opis podatności i jej wpływ
A08:2025 – Software and Data Integrity Failures
3.8.2 – Metody testowania podatności
Metody testowania podatności: Software and Data Integrity Failures
3.8.3 – Weryfikacja konfiguracji aplikacji i serwera
Weryfikacja konfiguracji aplikacji i serwera
Narzędzia do testowania
Podatność typu Software and Data Integrity Failures polega na braku mechanizmów zapewniających integralność kodu, komponentów, konfiguracji lub danych przesyłanych i wdrażanych w aplikacji. Testowanie tej podatności skupia się głównie na analizie łańcucha dostarczania oprogramowania (supply chain), konfiguracji systemów CI/CD oraz bezpieczeństwie zależności.
Praktyczne ćwiczenie: Testowanie i mitigacja
Cel ćwiczenia
Opis podatności i jej wpływ
Czym jest ta podatność?
Metody testowania podatności
Cel testowania
Weryfikacja konfiguracji aplikacji i serwera
Cel
Narzędzia do testowania
Skuteczne testowanie logowania i monitorowania wymaga użycia narzędzi do analizy logów, generowania zdarzeń, monitoringu oraz alertowania. Poniżej przedstawiono zestaw bezpłatnych i płatnych narzędzi, które można wykorzystać w testach bezpieczeństwa.
Praktyczne ćwiczenie: Testowanie i mitigacja
Cel ćwiczenia
Opis podatności i jej wpływ
Czym jest SSRF?
Metody testowania podatności
Cel testowania
Weryfikacja konfiguracji aplikacji i serwera
Cel
Narzędzia do testowania
Testowanie SSRF polega na identyfikacji punktów w aplikacji, które umożliwiają wykonanie zdalnego żądania HTTP na podstawie danych dostarczonych przez użytkownika. Poniżej przedstawiono narzędzia (zarówno darmowe, jak i komercyjne) przydatne do identyfikacji i eksploatacji SSRF.
Praktyczne ćwiczenie: Testowanie i mitigacja
Cel ćwiczenia