Курс Школа безопасности и аудита Web-приложений

Код: ASG341E

Продолжительность курса

40 Академических часов

Стоимость курса

165 539 руб
Заказать

Аудитория

  • для менеджеров и аналитиков ИБ; ИТ-менеджеров, ИТ-аудиторов, ИТ-разработчиков; специалистов по контролю качества приложений; специалистов по сертификации приложений; разработчиков приложений; системных администраторов; web-мастеров.

От слушателя требуется

  •  общее представление о сетях TCP/IP и соответствующих сетевых приложениях. 

Содержание курса

  1. Архитектуры web-приложений:
    • Безопасность среды клиент-сервер и промежуточного ПО для взаимосвязанных приложений
    • Структурные элементы современных приложений
    • Точки контроля web-приложений
    • Интерфейс программирования приложений промежуточного ПО и безопасности
    • Основы HTTP и URL
    • Уязвимости и защита HTTP: cookies, скрытые поля, состояние просмотра, строка запроса
    • Обнаружение точек контроля и применение соответствующих источников безопасности в сложных, взаимосвязанных приложениях.
  2. Безопасность и аудит Web (HTTP)-сервера:
    • Обнаружение web-сервера и его отслеживание: внутреннее и внешне
    • Конфигурация web-сервера: характеристики работы и безопасности
      • Анализ рисков приложений TCP/IP
      • Базовая защита операционных систем: Windows, Unix
      • Конфигурации web-сервера: лучшие наработки
      • Проверка подлинности пользователя и система единого входа на базе web
      • Управление доступом и процедура блокировки сервера
      • Шифрование сеанса: протокол безопасных соединений SSL
      • Журнал контроля безопасности web-сервера и системы обнаружения вторжений
    • Сравнение и сопоставление характеристик безопасности у известных web-серверов: Apache, Microsoft, IIS
    • Риски и защиты для удаленной разработки web-сервера: FTP, FrontPage, WebDAV, Expression Web
    • Уменьшения слабой защищенности кода с помощью балансировщиков нагрузки и межсетевых экранов прикладного уровня
    • Утилиты, технические средства и чек-листы для обеспечения безопасности и аудита web-сервера
  3. Безопасность в разработке программного обеспечения web-приложений
    • Отбор структурных элементов и утилитов для web-приложений
    • Безопасность использования сценариев web-страниц на стороне сервера: SSI, CGI, ASP, ASP.NET, PHP, JSP
    • Использования обеспечения безопасности мобильного кода: Java, ActiveX, VBScript, JavaScript, AJAX, ActionScript
    • Типовые уязвимости и атаки на web-приложения: атака перебором, повышение привилегий, межсайтовый скриптинг, внедрение SQL-кода, переполнение буфера
    • Проверка вводимых значений и обработка ошибок – лучшие наработки
    • Тестирование ПО, инструменты и технологии контроля качества
    • Утилиты, технические средства и чек-листы для тестирования и обеспечения безопасности разработки приложений
  4. Серверы web-приложений
    • Роли, архитектура и точки контроля безопасности для разработки XML-ориентированных приложений и соответствующих серверов web-приложений
    • Декларативные и программируемые API-вызовы для обеспечения безопасности
    • Оценка доступных сервисов безопасности и разработка таковых: лучшие наработки для двух главных конфигураций серверов web-приложений:
      • Microsoft .NET Framework и соответствующие компоненты ASP.NET
      • Java2, J2EE (Enterprise Edition)
    • Понимание и обеспечение безопасности web-сервисов OASIS и REST
    • Обзор современных сервис-ориентированных архитектур (SOA): факты и мифы
    • Утилиты и технические средства для обеспечения безопасности и аудита серверов web-приложений и web-сервисов
  5. Безопасность вспомогательных служб для web-приложений: безопасность и аудит системы управления базой данных (СУБД)
    • Терминология, архитектура и особенности СУБД и языка структурных запросов (SQL)
    • Риски безопасности для СУБД
    • Сравнения особенностей безопасности и аудита для основных продуктов СУБД, используемых в web-приложениях: Oracle, Microsoft SQL Server
      • Подклячение и авторизация для систем СУБД
      • Пользовательские учетные записи и управление паролями
      • Права доступа, роли
      • Методы защиты объектов базы данных: контроль доступа, шифрование
      • Варианты баз данных протоколирования
      • Журнал транзакций и другие точки контроля базы данных
      • Встроенные утилиты для аудита: таблицы словаря данных, хранимые процедуры
    • Утилиты, технические средства и чек-листы для обеспечения безопасности и аудита серверов СУБД