Курс
Безопасность веб-приложений для разработчиков на продвинутом уровне (Advanced Web Application Security for Developers)

Цели курса: повысить компетенции разработчиков веб-приложений в существующих продвинутых и актуальных атаках на веб-приложения для того, чтобы исключить или существенно снизить количество недостатков и уязвимостей, которые они могли допустить в программном коде.

Записаться на обучение

Код курса

S-335

Формат обучения

Виртуальный класс

Аудитория курса:

Разработчики веб-приложений

Тестировщики веб-приложений

Руководители отдела разработки веб-приложений

Владельцы продуктов состоящих из веб-приложений

Специалисты знакомые с типовыми уязвимостями веб-приложений

Что узнают слушатели:

Актуальные уязвимости веб-приложения, становящиеся популярными из-за развития веб-технологий

Какие проблемы возникают при попытках создания правил защиты

Примеры возникновения ряда не типовых уязвимостей и примеры их эксплуатации злоумышленниками

Способы устранения оговоренных уязвимостей веб-приложений

Чему научатся слушатели:

Обнаруживать и устранять перечисленные типы уязвимостей веб-приложений

Использовать программные средства для тестирования уязвимостей для проверки корректности их устранения

Программа обучения

4 занятия

16 ак. часов

Введение

Подготовка к программе курса


Содержание:

  • Знакомство
  • Обзор курса
  • Подготовка программного обеспечения
Уязвимости аутентификации (Атаки на JWT)

Знакомство с технологией JWT. Проблемы некорректного применения JWT и типовые уязвимости встречающиеся в этой технологии


Содержание:

  • Что такое JWT
    • Формат JWT
    • Заголовок JWT
    • Тело JWT
    • Подпись JWT
    • JWT vs JWS vs JWE
  • Сценарии использования JWT
    • Использование JWT для аутентификации
    • Использование JWT для обмена информацией
  • Уязвимости, связанные с использованием JWT
    • Уязвимости проверки подписи JWT
    • Уязвимости в библиотеках
    • JWT header parameter injections
    • Уязвимости разглашения конфиденциальных данных в JWT
    • Уязвимости использования JWT
  • Чеклист ревью кода, использующего JWT
  • Security лайфхаки для JWT
Уязвимости авторизации (Атаки OAuth)

Знакомство с технологиями OAuth, OAuth 2.0 и OpenID Connect и перечисление типовых уязвимостей встречающихся в них.


Содержание:

  • OAuth
  • OAuth 1.0 vs OAuth 2.0
  • OpenID
  • Типовые уязвимости и атаки на OAuth
Уязвимости ORM и NoSQL технологий

Знакомство с технологией ORM и работа с типовыми проблемами встречающимися при использовании ORM и NoSQL баз данных


Содержание:

  • Что такое ORM
  • Проблемы безопасности встречающиеся при использовании ORM
  • Использование NoSQL баз данных
  • Проблемы безопасности в NoSQL базах данных
Проблемы безопасности при использовании кеша (Cache Deception / Cache Poisoning)

Работа кеширующих технологий и проблемы безопасности, которые в них встречаются


Содержание:

  • Устройство и работа кеша
  • Отравление кеша
  • Манипуляция кешем
  • Атаки типа HTTP Desync
Уязвимости небезопасной десериализации

Уязвимости десериализации и атаки инъекции объектов.


Содержание:

  • Напоминание: Что такое небезопасная дезериализация?
  • Напоминание: Как возникают незащищенные уязвимости десериализации?
  • Эксплуатация JNDI инъекций в JAVA
Разбор популярных уязвимостей в технологиях Java (Log4shell / Spring4)

Разбираемся и учимся находить опасные конструкции связанные с нашумевшими уязвимостями Log4Shell и Spring4Shell


Содержание:

  • Уязвимость Log4Shell
  • Природа и эксплуатация уязвимости Log4Shell
  • Уязвимость Spring4Shell
  • Природа и эксплуатация уязвимости Spring4Shell
Обход систем и правил защиты (Обход кастомных правил защиты \ Обход средств защиты типа WAF)

Разбор случаев некорректной защиты от атак при помощи правил и систем защиты


Содержание:

  • Принципы работы систем защиты типа WAF
  • Способы обхода WAF средств
  • Способы обхода частных случаев защиты от атак типа SQLi, Path Traversal, XSS и пр.
Записаться на обучение

Как проходит обучение

  • Иммерсивный подход
  • Фокус на практике. Более 70% времени обучения вы уделите развитию практических навыков.

  • Никаких записей с прошлых потоков
  • Обновляем контент перед каждым запуском курса, снимая актуальные запросы с рынка и ориентируемся на них, создавая программы обучения.

  • Эксперты — реальные практики
  • Наши преподаватели проходят тестирование на соответствие требованиям CyberEd. Мы приглашаем лучших экспертов — практиков, которые каждый день сталкиваются с реальными задачами и решают их.

  • Требования к слушателям курса:
    • Уметь читать специализированную документацию и техническую литературу на английском языке
    • Иметь опыт написания кода на языке программирования Java
    • Иметь представление о взаимодействии компьютеров в сети (понимать работу протоколов IP, TCP, DNS, HTTP)
    • Знать типовые уязвимости веб-приложений из списка OWASP Top 10 2021
    01   / 05

    Записаться на обучение

    !
    !

    FAQ — ответы на частозадаваемые вопросы

    Требования к программному обеспечению?

    Рекомендуемые технические требования

    для комфортного прохождения модуля и сохранения всех полученных материалов:

    • Не менее 16 ГБ оперативной памяти
    • Процессор не менее четырех ядер с частотой не менее 2.3 Ггц
    • Жесткий диск SSD со свободным местом не менее 250 ГБ
    • Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
    • Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
    • Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)

    Все ответы

    Получить консультацию
    !
    !

    Спасибо,
    менеджер свяжеться с вами в ближайшее время

    Спасибо,
    за регистрацию на вебинар

    Заказать обратный звонок

    !
    Заполните это поле
    !
    Заполните это поле