Курс
Безопасность веб-приложений для разработчиков и угрозы из списка OWASP Top 10 (Web Application Security for Developers and OWASP Top 10 threats)

Познакомить разработчиков веб-приложений с сформировавшимися подходами повышения уровня защищенности веб-приложений через поиск уязвимостей и исключение их возникновения в ходе разработки веб-приложений. А также познакомить разработчиков веб-приложений с уязвимостями и угрозами сформулированными проектом OWASP Top 10 2017 через лекционный материал и практические задания.

Записаться на обучение

Код курса

S-134-5

Формат обучения

Виртуальный класс

Аудитория курса:

Разработчики веб-приложений

Тестировщики веб-приложений

Руководители отдела разработки веб-приложений

Владельцы продуктов состоящих из веб-приложений

Что узнают слушатели:

Подходы и методологии созданные для повышения уровня защищенности веб-приложений

Какие существуют виды угроз и уязвимостей веб-приложений

Примеры возникновения ряда типовых уязвимостей и примеры их эксплуатации злоумышленниками

Способы устранения ряда типовых уязвимостей веб-приложений

Средства для обеспечения защищенности веб-приложений и автоматизации процессов ИБ

Чему научатся слушатели:

Применять инструменты DAST для поиска уязвимостей

Обнаруживать ряд типовых уязвимостей и угроз веб-приложений, входящих в список проекта OWASP Top 10 2017

Корректно устранять ряд типовых уязвимостей, входящих в список проекта OWASP Top 10 2017

Программа обучения

5 занятий

20 ак. часов

Введение в информационную безопасность и безопасность веб-приложений

Содержание:

  • Знакомство
  • Терминология
  • Информационная безопасность
  • Веб-приложения и уязвимости веб-приложений
    • Угрозы веб-приложений
  • Стандарты в области безопасности разработки веб-приложений
    • Топ-10 OWASP
    • Более фундаментальные стандарты и методологии
  • Безопасная разработка
  • Инструменты и методологии поиска уязвимостей веб-приложений (WSTG, DAST, SAST, SCA)
    • Dynamic Application Security Testing (DAST)
    • Static Application Security Testing (SAST)
    • Software Composition Analysis (SCA)
Инъекции I

Знакомство с первыми уязвимостями инъекции на примере инъекций команд и конструкций SQL


Содержание:

  • Уязвимости инъекции
  • Инъекции команд ОС
    • Что такое инъекции команд?
    • Как возникают инъекции команд?
    • Как предотвратить инъекции команд?
  • Инъекции управляющих конструкций SQL
    • Что такое SQL инъекция?
    • Какой ущерб несут уязвимости к инъекции
    • Примеры SQL инъекций
    • Как предотвращать SQL инъекции?
Инъекции II

Частные и затрудненные случаи возникновения и эксплуатации уязвимостей SQL инъекции, а также инъекции шаблонов.


Содержание:

  • Что такое внедрение шаблона на стороне сервера?
  • Какой ущерб несут уязвимости к инъекции шаблонов?
  • Как появляются уязвимости инъекции шаблонов?
  • Проведение атаки инъекции шаблонов
  • Как защищаться от инъекции шаблонов?
Уязвимости аутентификации

Проблемы механизмов аутентификации, уязвимости самого механизма и механизмов в окружении.


Содержание:

  • Что такое Аутентификация?
  • Разница между аутентификацией, авторизацией и идентификацией?
  • Как возникают уязвимости аутентификации?
  • Какой ущерб несут уязвимости аутентификации?
  • Уязвимости в механизмах аутентификации
    • Уязвимости в Password-based аутентификации
    • Уязвимости мультифакторной аутентификации
    • Уязвимости механизмов Смены пароля, Восстановления пароля, Поддержания сессии
  • Как защищаться от уязвимостей механизмов аутентификации
Раскрытие конфиденциальных данных

Проблемы безопасности хранения и передачи данных.


Содержание:

  • Проблемы безопасности данных
    • Примеры возникающих уязвимостей
  • Шифрование передаваемых данных TLS/SSL, работа PKI и использование сертификатов x509.
    • Шифрование в SSL/TLS
    • Аутентификация в SSL/TLS
    • Public Key Infrastruc
    • Сертификаты X.509
  • Защита хранимых данных
    • Шифрование (Алгоритмы шифрования)
    • Хеширование (Использование соли и перца)
  • Проблемы утечки данных через раскрытие информации
    • Примеры раскрытия информации
    • Как возникают уязвимости в раскрытии информации?
  • Как предотвратить уязвимости в раскрытии информации
Записаться на обучение

Как проходит обучение

  • Иммерсивный подход
  • Фокус на практике. Более 70% времени обучения вы уделите развитию практических навыков.

  • Никаких записей с прошлых потоков
  • Обновляем контент перед каждым запуском курса, снимая актуальные запросы с рынка и ориентируемся на них, создавая программы обучения.

  • Эксперты — реальные практики
  • Наши преподаватели проходят тестирование на соответствие требованиям CyberEd. Мы приглашаем лучших экспертов — практиков, которые каждый день сталкиваются с реальными задачами и решают их.

  • Требования к слушателям курса:
    • Уметь читать специализированную документацию и техническую литературу на английском языке
    • Иметь опыт написания кода на любом языке программирования (PHP, Python, Java, JavaScript, Ruby, etc…)
    • Иметь представление о взаимодействии компьютеров в сети (понимать работу протоколов IP, TCP, DNS, HTTP)
    • Иметь опыт разработки веб-приложений (как минимум динамических страниц)
    01   / 05

    Записаться на обучение

    Стоимость

    44 000 рублей

    !
    !

    FAQ — ответы на частозадаваемые вопросы

    Требования к программному обеспечению?

    Рекомендуемые технические требования

    для комфортного прохождения модуля и сохранения всех полученных материалов:

    • Не менее 16 ГБ оперативной памяти
    • Процессор не менее четырех ядер с частотой не менее 2.3 Ггц
    • Жесткий диск SSD со свободным местом не менее 250 ГБ
    • Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
    • Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
    • Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)

    Все ответы

    Получить консультацию
    !
    !

    Спасибо,
    менеджер свяжеться с вами в ближайшее время

    Спасибо,
    за регистрацию на вебинар

    Заказать обратный звонок

    !
    Заполните это поле
    !
    Заполните это поле