Курс Аудит безопасности веб-приложений

Код: ASGZ05

Продолжительность курса

32 Академических часа

Стоимость курса

132 431 руб
Заказать

Аудитория

  • для менеджеров и аналитиков по информационной безопасности; менеджеров по информационным технологиям; аудиторов информационных систем; архитекторов информационных систем; архитекторов защиты; специалистов по сертификации прикладных систем; консультантов; разработчиков приложений.

От слушателя требуется

  • Вы должны прослушать курс "Intermediate IT Audit School", или иметь соответствующие знания. Подразумевается базовое знание сетей TCP/IP и связанных с ними сетевых приложений.

Содержание курса

  1. Архитектуры веб-приложений
    • безопасность клиентского, серверного и промежуточного ПО многоуровневых приложений
    • компоненты современных приложений
    • точки контроля веб-приложений
    • программные интерфейсы приложений (API) ПО защиты и промежуточного ПО
    • важнейшее в HTTP и URL
    • использование и защита управления контекстом обмена по HTTP: cookies, скрытые поля, просмотр состояния, строки запросов
    • локализация контрольных точек и соответствующие им службы защиты в сложных многоуровневых приложениях
  2. Безопасность и аудит сервера Web (HTTP)
    • конфигурирование веб-серверов: операционные особенности и возможности защиты
      • лучшая практика конфигурирования веб-серверов
      • аутентификация пользователей и технология однократного входа
      • контроль доступа и процедуры блокировки сервера
      • шифрование сессии: Secure Sockets Layer (SSL)
      • журналы аудита безопасности веб-сервера и системы обнаружения вторжений
    • сравнительный анализ встроенных возможностей защиты известных веб-серверов: Apache, Microsoft IIS
    • опасности и меры защиты при разработке удаленных веб-приложений: Frontpage, WebDAV, Expression Web
    • компенсация слабостей кода при помощи балансировки нагрузки и экранов приложений
    • инструментарий, методы и контрольные перечни защиты и аудита веб-серверов
  3. Серверы веб-приложений
    • роли, архитектура и точки контроля безопасности для XML-ориентированных сред разработки и связанных с ними серверов веб-приложений
    • декларативная и программная безопасность вызовов API
    • оценка имеющихся служб защиты и связанная с ними лучшая практика для двух основных сред разработки веб-серверов приложений:
      • Microsoft. NET Framework и связанные с ней компоненты ASP.NET
      • Java 2 Enterprise Edition (J2EE)
    • понимание и защита веб-служб OASIS и REST
    • сервис-ориентированная архитектура (SOA): факты и вымысел
    • инструменты и методики обеспечения безопасности и проведения аудита серверов веб-приложений и веб-служб
  4. Защита серверной составляющей веб-приложения: безопасность и аудит систем управления базами данных (СУБД)
    • терминология, архитектура и функции СУБД и SQL
    • присущие СУБД риски безопасности
    • сравнительный анализ возможностей защиты и аудита основных СУБД, используемых в веб-приложениях: Oracle, Microsoft SQL Server, MySQL
      • подключение и аутентификация в СУБД
      • управление учетными записями пользователей и паролями
      • разрешения, роли
      • методы защиты объектов БД: контроль доступа, шифрование
      • возможности журнала аудита БД
      • журналы транзакций и другие средства контроля доступности БД
      • встроенные инструменты аудита: таблицы словаря данных, хранимые процедуры
    • инструментарий, методики и контрольные перечни по защите и аудиту СУБД
  5. Безопасность при разработке ПО веб-приложений
    • компоненты и инструменты среды веб-приложения
    • безопасность сценариев серверных веб-страниц: SSI, CGI, ASP, ASP.NET, PHP, JSP
    • безопасность мобильного кода: Java, ActiveX, VBScript, JavaScript, AJAX, ActionScript
    • распространенные уязвимости и атаки для веб-приложений: полный перебор (brute force), превышение привилегий (privilege escalation), включение сценариев пользователя в генерируемые сервером страницы (cross-site scripting), внедрение кода в SQL-запрос (SQL injection), переполнение буфера
    • лучшая практика проверки корректности вводимых данных и обработки ошибок
    • инструменты и методы тестирования и проверки ПО
    • инструментарий, методики и контрольные перечни обеспечения безопасности при разработке приложений