开发Burp Suite扩展培训
2017年3月2日 - 作者:Luca Carettoni
我们非常兴奋地推出关于Web安全与安全自动化的全新课程。本篇博客简要概述这个8小时的工作坊内容。
课程名称
开发Burp Suite扩展 - 从手动测试到安全自动化
概述
在持续交付环境中确保Web应用程序安全是许多组织面临的开放挑战。传统应用安全实践会拖慢开发速度,且在多数情况下根本无法解决安全问题。相反,需要基于安全自动化和战术性安全测试的新方法,确保重要组件在上线前经过测试。安全专业人员必须精通工具使用,既要提升手动安全测试效率,也要部署定制化的安全自动化解决方案。
基于这一前提,我们利用Web应用安全的事实标准——Burp Suite,创建了全新课程。在8小时内,我们将展示如何利用Burp Suite的扩展能力,释放工具潜力,提升安全审计的效率和效果。
在快速介绍Burp及其扩展API后,我们将搭建最优开发环境以实现快速编码和调试。虽然我们使用Oracle Netbeans进行开发,但也提供IntelliJ IDEA和Eclipse的模板。
我们将创建多种类型的插件:
- 扩展#1:自定义日志记录器,提供持久化和数据导出功能
- 扩展#2:简单但实用的重放工具
- 扩展#3:Burp扫描引擎的主动检查模块
- 扩展#4:Burp扫描引擎的被动检查模块
最后,我们将利用这些扩展构建集成到CI环境(Jenkins)的安全自动化工具链。本工作坊基于真实用例,展示自定义检查与自动化结合如何帮助发现严重安全漏洞。
所有模板和完整代码的Burp Suite扩展将在Doyensec的Github上免费提供。如果您好奇,我们已经上传了前三个模块。
受众群体
本培训适合Web应用安全专家和开发人员。学员需对Burp Suite有基本了解,并具备基础面向对象编程经验(Burp扩展使用Java开发)。
要求
学员需自带安装最新Java和常用IDE的笔记本电脑。
近期开班时间
| 地点 | 日期 | 备注 |
|---|---|---|
| 海德堡(德国) | 2017年3月21日 | 在Troopers 2017安全会议期间授课。尚有席位,立即预订可在培训期间获得Burp周边礼品! |
| 华沙(波兰) | 2017年6月5日 | 参加WarCon邀请制会议后留下参加培训!报名请联系info@doyensec.com,邮件主题注明"Burp Training Post-WarCon"。 |
私人培训
本培训在全球范围内(英语授课)提供公开和私人活动。考虑到课程需要动手实践,我们最多接受15名学员。可根据要求提供视频录制。
如需安排课程,请随时通过info@doyensec.com联系我们!