Выберите городМосква
Москва
Екатеринбург
Тюмень
Санкт-Петербург
Сочи
Тбилиси
Москва+7 (495) 231-23-51
Екатеринбург
Тюмень
Санкт-Петербург
Тбилиси
Личный кабинет
Выберите городМосква
Москва
Екатеринбург
Тюмень
Санкт-Петербург
Сочи
Тбилиси
Москва+7 (495) 231-23-51
Екатеринбург
Тюмень
Санкт-Петербург
Тбилиси
Информзащита
OWASP Тор10

Тестирование веб-приложений на наличие уязвимостей OWASP Top 10

Тип курса
Авторизированный
Длительность
16 ак. часов
Ближайшая дата
Отсутствует
Стоимость
18 000 RUB
Формируем расписание курса
Оставьте заявку, и мы проинформируем вас когда все будет готово.
Описание

OWASP Top 10 – это рейтинг самых актуальных уязвимостей веб-приложений, который составляется сообществом OWASP (Open Web Application Security Project). Наличие в веб-приложении уязвимости из этого списка представляет серьезную угрозу как для безопасности информации самого веб-приложения, так и для безопасности пользователей этого приложения.

Целью курса "Тестирование веб-приложений на наличие уязвимостей OWASP Top 10" является знакомство аудитории с уязвимостями из рейтинга OWASP Top 10, а также с базовыми методами тестирования веб-приложений на наличие этих уязвимостей. Особое внимание уделяется выработке практических навыков по работе с инструментами анализа защищенности веб-приложений. 

Профиль аудитории

  • Инженеры по тестированию программного обеспечения, в обязанности которых входит проверка свойств защищенности веб-приложений.
  • Руководители отделов тестирования программного обеспечения, в обязанности которых входит разработка планов тестирования веб-приложений и написание постановок задач.
  • Разработчики программного обеспечения, в обязанности которых входит проектирование и реализация подсистем защищенности веб-приложений. 

Необходимая подготовка

  • Знание протокола HTTP, в том числе стандарта по использованию cookies.
  • Знание языка разметки HTML.
  • Знакомство с CSS, DOM-моделью HTML-документа, языком JavaScript, языком запросов SQL, интерпретатором Bourne Shell (bash). 

Цели курса

Будут приобретены знания:

  • о причинах возникновения уязвимостей из рейтинга OWASP Top 10;
  • о рисках, возникающих из наличия в веб-приложениях уязвимостей из рейтинга OWASP Top 10;
  • о методах проверки веб-приложения на наличие уязвимостей из рейтинга OWASP Top 10.

Будут приобретены умения:

  • разрабатывать тестовые планы проверки веб-приложений на наличие уязвимостей из рейтинга OWASP Top 10;
  • использовать инструментальные средства для тестирования веб- приложений на наличие уязвимостей из рейтинга OWASP Top 10. 

Программа курса

Глава 1

  • Введение. Место веб-приложений в современном мире. Почему веб-приложения все чаще становятся целью злоумышленников? Особые требования, которые предъявляются к безопасности веб-приложений. Обзор OWASP Top 10 2010. Как правильно и неправильно использовать этот рейтинг.
  • Знакомство с инструментальным средством Burp Suite. Выполнение каких задач в процессе тестирования защищенности веб-приложений позволяет автоматизировать данное средство.
  • A1: уязвимости к внедрению кода[1]. Уязвимости к внедрению кода на языке SQL и Shell.
  • A2: уязвимости XSS (Cross Site Scripting).
  • A3: уязвимости, возникающие вследствие некорректной реализации механизма аутентификации и управления сеансами веб-приложения.


Глава 2

  • A4: уязвимости, позволяющие осуществлять неконтролируемый доступ к внутренним объектам веб-приложения напрямую. Возможность обхода каталогов (Path Traversal).
  • A5: уязвимости CSRF (Cross Site Request Forgery).
  • A6: уязвимости, возникающие вследствие неправильной конфигурации веб-приложения и его окружения.
  • A7: уязвимости, связанные с некорректной реализацией криптографических методов защиты информации для хранения критичных данных на стороне сервера.
  • A8: уязвимости механизма авторизации веб-приложений: возможность прямого доступа к ресурсам по URL.
  • A9: недостаточная защищенность транспортного протокола.
  • A10: уязвимости, позволяющие использовать веб-приложение для перенаправления пользователей на любой сайт (Open Redirects).

_________________________________

[1] Для каждого типа уязвимостей рассматриваются:

  • риски, порождаемые наличием уязвимостей данного типа;
  • методы тестирования веб-приложений на наличие уязвимостей даннного типа;
  • автоматизация этих методов с помощью Burp Suite.

FAQ

По окончанию обучения слушатели получают либо Сертификат Учебного Центра о прохождении курса, либо Удостоверение о повышении квалификации, зарегистрированное в ФРДО (Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении). Для получения Свидетельства необходимо, чтобы длительность обучения превышала 16 академических часов, а так же необходимо предоставить оригинал Диплома о профессиональном или высшем образовании государственного образца.

Помимо этого, по факту прохождения авторизованных курсов вендоров Cisco, Postgres, AstraLinux, Microsoft, ICAgile выдается электронный сертификат вендора.

Возьмите паспорт и Диплом об окончании профессионального или высшего образования. Диплом понадобится для получения Удостоверения о повышении квалификации (в случае отсутствия Диплома, по окончанию курса будет выдан Сертификат Учебного Центра, подтверждающий факт пройденного обучения).

За несколько дней до начала обучения (обычно за неделю) все слушатели получают приглашение по указанной электронной почте (если обучение заказывалось централизованно, ваш персональный мейл могли не передать - обратитесь к специалисту вашей организации, кто заказывал курсы, приглашение есть у него). В приглашении указан адрес и прочая полезная для слушателя информация. Если вы не получили приглашение – обратитесь к нам любым удобным для вас способом и мы сообщим адрес и продублируем приглашение на вашу почту.

В основном корпусе в Москве по адресу Дербеневская набережная д.7 стр.5, БЦ «Оазис», парковки, к сожалению, нет. Зато есть муниципальная платная парковка на всех прилегающих улицах.

По поводу остальных филиалов и корпусов – уточняйте информацию у наших менеджеров. Мы постараемся сделать всё возможное для вашего комфортного обучения.

Да, во время занятий для слушателей всегда доступны чай, кофе, прохладительные напитки и орешки, печеньки и другие снеки на кофе-брейках. Помимо этого, в обеденный перерыв будет предложен полноценный горячий обед.

Наш центр работает с корпоративными и частными клиентами. Для каждой категории клиентов мы разработали различные варианты сотрудничества, позволяющие гибко подходить к ценообразованию и вариантам оплаты.

Обо всех специальных условиях читайте в разделе Спецпредложения.

Не достаточно информации? Напишите нам и мы сделаем вам предложение, от которого невозможно отказаться.

Не нашли подходящиего курса?
Оставьте заявку на обучение для вашей организации
Подпишитесь и будьте в курсе
Информация о новинках, скидках и акциях. Уже более 36 000 подписчиков!