Безопасность Web-приложений

Глава 1 - Проблемы и основные понятия безопасности Web-технологий

• Основные понятия безопасности Web-технологий. 
• Уровни информационной инфраструктуры. 
• Концепция глубокоэшелонированной защиты. 
• Основные источники уязвимостей. 
• Методы оценки уязвимостей системы. 
• Источники информации об уязвимостях.

Глава 2 - Защита уровня сетевого взаимодействия

• Уязвимости и атаки уровня сетевого взаимодействия. 
• Защита сетевого взаимодействия ОС Windows. 
• Защита сетевого взаимодействия сервера СУБД. 
• Защита сетевого взаимодействия Web-сервера. 
• Дополнительные средства обеспечения безопасности на сетевом уровне.

Глава 3 -  Защита уровня серверной операционной системы

• Уязвимости операционных систем. 
• Настройка механизмов аутентификации и разграничения доступа операционной системы. 
• Защита компонентов ОС, связанных с сервером СУБД. 
• Защита компонентов ОС, связанных с Web-сервером.

Глава 4 -  Защита уровня СУБД

• Разграничение доступа к ресурсам MS SQL Server. 
• Настройка безопасности компонентов SQL Server. 
• Аудит корректности разрешений на объекты СУБД.

Глава 5 -  Базовые сведения о Web-технологиях

• Протоколы и технологии Web. 
• Протокол HTTP. 
• Основные стандарты. 
• Заголовки протокола. 
• Методы передачи данных. 
• Основные утилиты, используемые в курсе.

Глава 6 -  Уязвимости и атаки на Web-приложения

• Причины возникновения уязвимостей. 
• Атаки на Web-приложения. 
• Список OWASP TOP 10. 
• Классификация угроз Web Application Security Consortium.

Глава 7 -  Разглашение информации

• Индексирование директорий. 
• Идентификация приложений. 
• Утечка информации. 
• Обратный путь в директориях. 
• Предсказуемое расположение ресурсов. 
• Методы защиты. 
• Защита критичных данных приложения.

Глава 8 -  Аутентификация

• Методы аутентификации в Web-приложениях. 
• Уязвимости аутентификации. 
• Подбор. 
• Недостаточная аутентификация. 
• Небезопасное восстановление паролей.

Глава 9 -  Авторизация и идентификация сессии

• Уязвимости реализации авторизации. 
• Предсказуемое значение идентификатора сессии. 
• Недостаточная авторизация. 
• Отсутствие таймаута сессии. 
• Фиксация сессии. 
• Некорректные разрешения.

Глава 10 -  Уязвимости, приводящие к выполнению кода

• Переполнение буфера. 
• Атака на функции форматирования строк. 
• Внедрение операторов LDAP. 
• Выполнение команд операционной системы. 
• Внедрение операторов SQL. 
• Внедрение SQL кода вслепую. 
• Внедрение серверных расширений. 
• Внедрение XML. 
• Внедрение почтовых команд.

Глава 11 -  Безопасность клиентских приложений

• Подмена содержимого. 
• Межсайтовое выполнение сценариев. 
• Сохраненный вариант атаки. 
• Отраженный вариант атаки. 
• Использование внедрения сценариев. 
• Защита от внедрения сценариев. 
• Подделка HTTP-запросов.

Глава 12 -  Web 2.0

• Концепция Web 2.0 и AJAX. 
• Угрозы, связанные с технологией AJAX. Web-черви.

Глава 13 -  Логические атаки

• Злоупотребление функциональными возможностями. 
• Отказ в обслуживании. 
• Недостаточное противодействие автоматизации. 
• Недостаточная проверка процесса. 
• Функции перенаправления. 
• Расщепление HTTP-запросов и ответов.

Глава 14 -  Анализ защищенности Web-приложений

• Методология анализа защищенности. 
• Специфика Web-приложений. 
• Автоматизированные средства поиска уязвимостей. 
• Сканеры уязвимостей Web-приложений.

Глава 15 -  Дополнительные механизмы защиты Web-приложений

• Межсетевые экраны для Web-приложений (Web Application Firewalls). 
• Возможности и ограничения WAF. 
• Примеры реализации WAF. 
• Использование mod_security для защиты трафика.