Применение автоматизированных средств тестирования на проникновение при аудите веб-приложений и сервисов

Содержание книги "Применение автоматизированных средств тестирования на проникновение при аудите веб-приложений и сервисов "

ВВЕДЕНИЕ
1. СИСТЕМА СКАНИРОВАНИЯ УЯЗВИМОСТЕЙ OPENVAS
1.1. Актуальность изучения систем сканирования уязвимостей
1.1.1. Современное состояние киберугроз и уязвимостей
1.1.2. Понятие уязвимости и её классификация
1.1.3. Роль автоматизации в управлении уязвимостями
1.1.4. Общая характеристика систем сканирования уязвимостей
1.1.5. Значение Open VAS в образовательной и профессиональной деятельности
1.1.6. Общая теоретическая подготовка
1.1.7. Образовательная и научная перспектива
1.2. Общие понятия и терминология
1.2.1. Что такое уязвимость
1.2.2. Классификация уязвимостей: CVE, CVSS, CWE
1.2.3. Угрозы и риски, связанные с несвоевременным устранением уязвимостей
1.2.4. Цикл жизненного цикла уязвимости
1.2.5. Роль систем сканирования уязвимостей в управлении рисками
1.3. Концепция систем сканирования уязвимостей
1.3.1. Принципы работы систем сканирования уязвимостей
1.3.2. Типы сканирования
1.3.3. Фазы сканирования
1.3.4. Методы проверки наличия уязвимостей
1.3.5. Ложные срабатывания и пропуски
1.3.6. Оценка эффективности сканирования
1.4. Обзор Open VAS как открытой системы сканирования уязвимостей
1.4.1. История создания и развития Open VAS
1.4.2. Лицензирование и сообщество разработчиков
1.4.3. Сравнение Open VAS с другими системами
1.4.4. Возможности и ограничения Open VAS
1.4.5. Области применения Open VAS
1.5. Архитектура и компоненты Greenbone Vulnerability Manager (GVM)
1.5.1. Общая структура GVM
1.5.2. Основные компоненты
1.5.3. Протоколы и интерфейсы взаимодействия
1.5.4. Роль NASL- скриптов в процессе сканирования
1.5.5. Базы данных уязвимостей
1.6. Процесс обнаружения уязвимостей в Open VAS
1.6.1. Общая схема обнаружения уязвимостей
1.6.2. Процесс предварительной стратегии сканирования
1.6.3. Этапы выполнения сканирования
1.6.4. Механизмы идентификации уязвимостей
1.6.5. Обработка и классификация результатов
1.6.6. Алгоритмы определения уровня риска (CVSS)
1.6.7. Хранение результатов в базе данных
1.7. Интерфейс пользователя и организация данных
1.7.1. Назначение веб-интерфейса GSAD
1.7.2. Основные элементы интерфейса
1.7.3. Структура хранения информации
1.7.4. Система ролей и прав доступа
1.7.5. Интеграция с Active Directory и через SAML / OAuth
1.8. Безопасность и этические аспекты использования Open VAS
1.8.1. Юридические аспекты сканирования уязвимостей
1.8.2. Необходимость согласования действий при использовании в корпоративной среде
1.8.3. Ограничения и меры предосторожности
1.8.4. Этика использования инструментов анализа уязвимостей
1.8.5. Ответственное раскрытие найденных уязвимостей
2. АНАЛИЗ ВЕБ-ПРИЛОЖЕНИЙ И СЕРВЕРОВ НА ПРИМЕРЕ NIKTO-MASTER
2.1. Основа, функционал и настройка Nikto-master
2.1.1. Что такое Nikto и Nikto-master
2.1.2. Процесс первичной инсталляции Nikto-master
2.1.3. Настройка базовых параметров
2.2. Основы работы с Nikto-master
2.2.1. Запуск утилиты
2.2.2. Основные ключи и опции командной строки
2.2.3. Чтение вывода результатов
2.3. Nikto-master и его использование на практике
2.3.1. Выполнение процесса организации сканирования
2.3.2. Выполнение тестового сканирования
2.3.3. Поиск известных уязвимостей
2.3.4. Формирование отчетов
2.4. Продвинутые возможности и автоматизация
2.4.1. Интеграция с другими инструментами
2.4.2. Массовое сканирование
2.4.3. Использование Nikto-master через прокси и Tor
2.4.4. Безопасное использование Nikto-master
ЗАКЛЮЧЕНИЕ
СПИСОК ЛИТЕРАТУРЫ