Выберите городМосква
Москва
Алматы
Екатеринбург
Тюмень
Санкт-Петербург
Сочи
Тбилиси
Москва
Алматы
Екатеринбург
Тюмень
Санкт-Петербург
Сочи
Тбилиси
Личный кабинет
Выберите городМосква
Москва
Екатеринбург
Тюмень
Санкт-Петербург
Сочи
Тбилиси
Москва+7 495 231-23-51
Екатеринбург
Тюмень
Санкт-Петербург
Сочи
Тбилиси
БТ07

Безопасность Web-приложений

Тип курса
Авторский
Длительность
16 ак. часов
Ближайшая дата
15 дек 2022
Стоимость
19 440 RUB
19 440 RUB
Описание

В курсе БТ07 "Анализ и оценка защищенности Web-приложений" используются современные подходы к построению информационной инфраструктуры бизнеса на основе Web-технологий, рассматриваются уязвимости сетевых приложений и методы их устранения. Курс базируется на концепции глубокоэшелонированной защиты (Defence in depth), и включает методику поэтапной настройки всех компонентов, в том числе, сетевой инфраструктуры, базовых операционных систем, системы управления базами данных (СУБД), и собственно Web-приложения для надежной защиты от распространенных атак, а также для повышения устойчивости к новым атакам.

Особое внимание в курсе уделяется защите на прикладном уровне, рассматриваются распространенные ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы устранения.

Анализируются методики и инструментарий, необходимые для проведения работ по оценке защищенности Web-приложений других разработчиков. В качестве критериев для проведения аудита используются общепринятые классификации Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification.

Половина учебного времени отведена практическим работам и демонстрациям. В ходе выполнения практических работ слушатели получают навыки поиска и устранения уязвимостей в Web-приложениях. Практические работы проводятся на базе систем, представляющих собой типовые Web-приложения, содержащие распространенные уязвимости.

Кому полезен курс

  • Системные и сетевые администраторы, ответственные за безопасность Web-приложений.
  • Администраторы информационной безопасности.
  • Эксперты и аналитики по вопросам компьютерной безопасности, ответственные за анализ состояния информационной безопасности, определение требований к защищенности сетевых ресурсов.
  • Разработчики Web-приложений.

Необходимая подготовка

  • Хорошее знание IP-сетей.
  • Знание основ Web-технологий (HTTP, HTML, ASP, JSP, SQL).
  • Навыки работы с ОС Windows 2000/XP/2003, Linux.

Ваш результат обучения

По окончании курса Вы приобретете знания:

  • о применении концепции Defence in depth к защите Web-приложений;
  • основных уязвимостей и атак на Web-приложения;
  • методов защиты Web-приложений;
  • классификаций уязвимостей Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification;
  • принципов построения эффективных систем аутентификации и разграничения доступа к Web-ресурсам;
  • методов поиска уязвимостей в Web-приложениях.

Вы сможете:

  • использовать средства аудита безопасности Web-приложений (Sleuth, WebScarab, Achilles, Odysseus, Paros);
  • выявлять уязвимости с использованием различных средств анализа защищенности, в т.ч. Nikto, XSpider, MaxPatrol;
  • настраивать системы безопасности компонентов Web-приложения (ОС, СУБД, Web-сервера);
  • конфигурировать специализированные средства защиты Web-приложений, такие как Web Application Firewall. 

Программа курса

Глава 1 - Проблемы и основные понятия безопасности Web-технологий

  • Основные понятия безопасности Web-технологий. 
  • Уровни информационной инфраструктуры. 
  • Концепция глубокоэшелонированной защиты. 
  • Основные источники уязвимостей. 
  • Методы оценки уязвимостей системы. 
  • Источники информации об уязвимостях.


Глава 2 - Защита уровня сетевого взаимодействия

  • Уязвимости и атаки уровня сетевого взаимодействия. 
  • Защита сетевого взаимодействия ОС Windows. 
  • Защита сетевого взаимодействия сервера СУБД. 
  • Защита сетевого взаимодействия Web-сервера. 
  • Дополнительные средства обеспечения безопасности на сетевом уровне.


Глава 3 -  Защита уровня серверной операционной системы

  • Уязвимости операционных систем. 
  • Настройка механизмов аутентификации и разграничения доступа операционной системы. 
  • Защита компонентов ОС, связанных с сервером СУБД. 
  • Защита компонентов ОС, связанных с Web-сервером.


Глава 4 -  Защита уровня СУБД

  • Разграничение доступа к ресурсам MS SQL Server. 
  • Настройка безопасности компонентов SQL Server. 
  • Аудит корректности разрешений на объекты СУБД.


Глава 5 -  Базовые сведения о Web-технологиях

  • Протоколы и технологии Web. 
  • Протокол HTTP. 
  • Основные стандарты. 
  • Заголовки протокола. 
  • Методы передачи данных. 
  • Основные утилиты, используемые в курсе.


Глава 6 -  Уязвимости и атаки на Web-приложения

  • Причины возникновения уязвимостей. 
  • Атаки на Web-приложения. 
  • Список OWASP TOP 10. 
  • Классификация угроз Web Application Security Consortium.


Глава 7 -  Разглашение информации

  • Индексирование директорий. 
  • Идентификация приложений. 
  • Утечка информации. 
  • Обратный путь в директориях. 
  • Предсказуемое расположение ресурсов. 
  • Методы защиты. 
  • Защита критичных данных приложения.


Глава 8 -  Аутентификация

  • Методы аутентификации в Web-приложениях. 
  • Уязвимости аутентификации. 
  • Подбор. 
  • Недостаточная аутентификация. 
  • Небезопасное восстановление паролей.


Глава 9 -  Авторизация и идентификация сессии

  • Уязвимости реализации авторизации. 
  • Предсказуемое значение идентификатора сессии. 
  • Недостаточная авторизация. 
  • Отсутствие таймаута сессии. 
  • Фиксация сессии. 
  • Некорректные разрешения.


Глава 10 -  Уязвимости, приводящие к выполнению кода

  • Переполнение буфера. 
  • Атака на функции форматирования строк. 
  • Внедрение операторов LDAP. 
  • Выполнение команд операционной системы. 
  • Внедрение операторов SQL. 
  • Внедрение SQL кода вслепую. 
  • Внедрение серверных расширений. 
  • Внедрение XML. 
  • Внедрение почтовых команд.


Глава 11 -  Безопасность клиентских приложений

  • Подмена содержимого. 
  • Межсайтовое выполнение сценариев. 
  • Сохраненный вариант атаки. 
  • Отраженный вариант атаки. 
  • Использование внедрения сценариев. 
  • Защита от внедрения сценариев. 
  • Подделка HTTP-запросов.


Глава 12 -  Web 2.0

  • Концепция Web 2.0 и AJAX. 
  • Угрозы, связанные с технологией AJAX. Web-черви.


Глава 13 -  Логические атаки

  • Злоупотребление функциональными возможностями. 
  • Отказ в обслуживании. 
  • Недостаточное противодействие автоматизации. 
  • Недостаточная проверка процесса. 
  • Функции перенаправления. 
  • Расщепление HTTP-запросов и ответов.


Глава 14 -  Анализ защищенности Web-приложений

  • Методология анализа защищенности. 
  • Специфика Web-приложений. 
  • Автоматизированные средства поиска уязвимостей. 
  • Сканеры уязвимостей Web-приложений.


Глава 15 -  Дополнительные механизмы защиты Web-приложений

  • Межсетевые экраны для Web-приложений (Web Application Firewalls). 
  • Возможности и ограничения WAF. 
  • Примеры реализации WAF. 
  • Использование mod_security для защиты трафика.

! Данный курс может быть заказан может быть заказан согласно 44-ФЗ, 223-ФЗ (закупка, аукцион, запрос котировок, конкурсные процедуры)

Доступные формы обучения
Описание фомата

Смешанное обучение совмещает в себе очные и дистанционные форматы. Часть программы студенты могут пройти удаленно, а часть – в учебном центре. Некоторые темы в программе не требуют личного присутствия обучающегося, а более сложные для объяснения элементы (в основном уровня advanced) рассматриваются непосредственно в аудитории-лаборатории. Практические занятия проходят под руководством опытного инструктора на территории учебного центра, в то время как теорию обучающиеся проходят в удаленной форме под дистанционным контролем.

Длительность, формат и расписание ежедневных занятий для каждого курса индивидуальны и будут высланы каждому слушателю до начала обучения.

Смешанный формат позволяет оптимизировать процесс обучения и сократить время на ежедневную логистику «до» и «от» учебного центра в часы пик.

Расписание курса
Выберите удобную для вас дату
дек 2022
15 дек - 16 дек
Москва
Смешанная Смешанная
Преподаватель курса
Ожидается назначение
Стоимость
19 440 RUB
Если в расписании нет удобных для Вас дат, напишите нам - мы разработаем удобные варианты специально для Вас!
FAQ

Онлайн обучение реализуется в Системе Дистанционного Обучения УЦ Микротест — Mirapolis и проходит в реальном времени с преподавателем. За несколько дней до начала обучения вы получаете необходимые ссылки для подключения к курсу и доступ к Личному кабинету.

Более подробно вы можете ознакомиться с информацией на странице дистанционного обучения.

Если у вас остались вопросы, то обратитесь к нам любым удобным для вас способом (тел. +7(495) 231-23-51 или training@training-microtest.ru), и мы ответим на все ваши вопросы.

Очное обучение проходит на территории Учебного центра Микротест по адресу: Москва, Дербеневская наб. д. 7 стр.5, 5 этаж.

За несколько дней до начала обучения участник получает приглашение, в котором указан адрес места проведения и другая полезная информация для обучения.

Если вы не получили приглашение — обратитесь к нам любым удобным для вас способом (тел. +7(495) 231-23-51 или training@training-microtest.ru), и мы ответим на ваши вопросы и продублируем приглашение на вашу почту.

  1. Обучение проходит в реальном времени с преподавателем, вы можете задавать свои вопросы и разбирать интересные кейсы сразу в процессе обучения.
  2. Вашу учебную группу будет сопровождать координатор, которому можно задавать организационные вопросы.
  3. Если вы по каким-то причинам пропустили онлайн-занятие, то все записи будут доступны 24/7 в вашем личном кабинете в Системе Дистанционного Обучения. Также вы можете их использовать для закрепления материала.
  4. Дополнительно для вашего удобства мы создаем чат в Telegram вашей группы, где вы сможете задавать вопросы преподавателю, координатору и обмениваться опытом с коллегами по обучению.

По итогу прохождения обучения слушатели получают либо Сертификат Учебного центра о прохождении курса, либо Удостоверение о повышении квалификации, зарегистрированное в ФРДО (Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении).

Помимо этого, по факту прохождения авторизованных курсов вендоров PostgresPro, Astra Linux, АЭРОДИСК и др. выдается электронный сертификат вендора.

В основном корпусе в Москве по адресу Дербеневская набережная д.7 стр.5, БЦ «Оазис», парковки, к сожалению, нет. Зато есть муниципальная платная парковка на всех прилегающих улицах.

По поводу остальных филиалов и корпусов — уточняйте информацию у наших менеджеров. Мы постараемся сделать всё возможное для вашего комфортного обучения.

Да, во время занятий для слушателей всегда доступны чай, кофе, печенье и другие снеки на кофе-брейках. Помимо этого, в обеденный перерыв будет предложен полноценный горячий обед.

Наш центр работает с корпоративными и частными клиентами. Для каждой категории клиентов мы разработали различные варианты сотрудничества, позволяющие гибко подходить к ценообразованию и вариантам оплаты.

Обо всех специальных условиях читайте в разделе Спецпредложения или обратитесь к нам любым удобным для вас способом (тел. +7(495) 231-23-51 или training@training-microtest.ru)

Также подпишитесь на новости нашего учебного центра, где вы первыми узнаете про интересные предложения от нас.

Не нашли подходящиего курса?
Оставьте заявку на обучение для вашей организации
Подпишитесь и будьте в курсе
Информация о новинках, скидках и акциях. Уже более 36 000 подписчиков!