Разработка защищенных Web-приложений с использованием технологии Microsoft ASP.NET

Аудитория: курс предназначен для специалистов по проектированию и разработке Web-приложений: Web-программистов и менеджеров-постановщиков.

Необходимая подготовка:

• знакомство с многоуровневой архитектурой создания программного обеспечения
• опыт программирования на Visual Basic .NET или Visual C#.NET;
• опыт проектирования и разработки Web-приложений
• знание английского языка в пределах чтения компьютерно-ориентированного материала.
• опыт в написании серверных и клиентских скриптов, желательно в рамках технологии ASP.NET
• знакомство с Microsoft SQL Server 2000 и IIS
• Желательно предварительное прохождение курса 2310 "Разработка Web-приложений Microsoft ASP.NET средствами Visual Studio .NET"  
• знание английского языка в пределах чтения компьютерно-ориентированного материала.

Содержание:

Модуль 1: Введение в безопасность Web-приложений
Содержит обзор основных терминов и понятий

• зачем создаются защищенные Web-приложения?
• использование STRIDE-модели для определения возможных угроз;
• введение в реализацию системы безопасности.

По завершению модуля слушатели смогут объяснить важность обечпечения должного уровня безопасности при создании Web-приложений и получат представление о базовых методах и алгоритмах криптографии, хэшировании и цифровой подписи.
Модуль 2: Планирование системы безопасности для Web-приложения
Содержит описание общей процедуры учета системы безопасности на этапе проектирования Web-приложения

• Проектирование защищенного Web-приложения

По завершению изучения модуля слушатели смогут описать итеративный алгоритм проектирования системы безопасности Web-приложения. Слушатели смогут классифицировать основные типы сетевых атак, оценить потенциальные угрозы таких атак для операционной системы, программного обеспечения и данных организации заказчика.
Модуль 3: Проверка пользовательского ввода
Объясняет, как проверять пользовательский ввод на клиентской и на серверной стороне с использованием соответствующих элементов управления

• Обзор технологий проверки пользовательского ввода
• Использование специализированных элементов управления
• Проверка ввода на уровне страницы
• Лабораторная работа: проверка пользовательского ввода

Модуль 4: Процедура аутентификации на IIS

Модуль содержит описание методов аутентификации, поддерживаемых Web-сервером IIS и операционной системой MS Windows 2000

• введение в аутентификации Web-клиентов;
• конфигурирование прав доступа к Web-серверу;
• выбор метода аутентификации клиента;
• запуск служб от имени аутентифицированного пользователя (олицетворение);
• Лабораторная работа: аутентификация и права доступа.

Модуль 5: Создание защищенных Web-страниц
Содержит обсуждение вопросов создания защищенных Web-форм средствами ASP.NET

• аутентификация средствами ASP.NET;
• приложения .NET и ролевая безопасность;
• работа с приложениями ASP.NET при интегрированной методике аутентификации Windows;
• создание приложений с аутентификация на основе форм.
• Лабораторная работа: создание защищенных Web-страниц.

Модуль 6: Защита данных файловой системы
Поясняте Web-разработчику, как обеспечить защиту данных, хранящихся в виде файлов на Web-сервере

• обзор системы безопасности файловой системы NTFS;
• контроль доступа Windows
• программное создание списков ACL;
• защита файлов приложения ASP.NET.
• Лабораторная работа: защита файлов с помощью списков ACL.

Модуль 7: Система безопасности Microsoft SQL Server
содержит сведения о защите Web-приложений от атак типа "sql injection"

• подключения к MS SQL Server и безопасность;
• ролевая система безопасности MS SQL Server;
• организации безопасности во взаимодействии с MS SQL Server;
• Лабораторная работа: обеспечение безопасности данных, хранимых на MS SQL Server.

Модуль 8: Обеспечение конфиденциальности и целостности данных при работе с Web-приложением
описывает механизмы обеспечения конфиденциальности "общения" пользователя и Web-приложения и целостности передаваемых данных

• введение в криптографию;
• работа с цифровыми сертификатами;
• использование протоколов SSL/STL;
• использование протокола IpSec.
• Лабораторная работа: получение цифрового сертификата
• Лабораторная работа: обеспечение конфиденциальности и целостности данных

Модуль 9: Кодирование, хэширование и подписывание данных
Содержит сведения об использовании классов - элементов .NET-Framework, реализующих соответствующие криптографические алгоритмы

• использование классов - представителей пространства имен System.Security.Cryptography для кодировани (декодирования), хэширования и подписи данных.
• Лабораторная работа: хэширование данных

Модуль 10: Тестирование системы безопасности Web-приложения
Содержит описание типовых методик реализации тестирования системы безопасности Web-приложений

• описание процедуры тестирования безопасности Web-приложений;
• создание плана тестирования;
• реализация процедуры тестирования;
• Лабораторная работа: тестирование безопасности Web-приложений.

Рекомендации: данный курс соответствует квалификационным тестам:

• Exam 70-305: Developing and Implementing Windows-based Applications with Microsoft Visual C# .NET and Microsoft Visual Studio .NET
• Exam 70-315: Developing and Implementing Web Applications with Microsoft Visual C#™ .NET and Microsoft Visual Studio .NET