Стоимость курса
132 431 рубЗаказать
Аудитория
- для менеджеров и аналитиков по информационной безопасности; менеджеров по информационным технологиям; аудиторов информационных систем; архитекторов информационных систем; архитекторов защиты; специалистов по сертификации прикладных систем; консультантов; разработчиков приложений.
От слушателя требуется
- Вы должны прослушать курс "Intermediate IT Audit School", или иметь соответствующие знания. Подразумевается базовое знание сетей TCP/IP и связанных с ними сетевых приложений.
Содержание курса
- Архитектуры веб-приложений
- безопасность клиентского, серверного и промежуточного ПО многоуровневых приложений
- компоненты современных приложений
- точки контроля веб-приложений
- программные интерфейсы приложений (API) ПО защиты и промежуточного ПО
- важнейшее в HTTP и URL
- использование и защита управления контекстом обмена по HTTP: cookies, скрытые поля, просмотр состояния, строки запросов
- локализация контрольных точек и соответствующие им службы защиты в сложных многоуровневых приложениях
- Безопасность и аудит сервера Web (HTTP)
- конфигурирование веб-серверов: операционные особенности и возможности защиты
- лучшая практика конфигурирования веб-серверов
- аутентификация пользователей и технология однократного входа
- контроль доступа и процедуры блокировки сервера
- шифрование сессии: Secure Sockets Layer (SSL)
- журналы аудита безопасности веб-сервера и системы обнаружения вторжений
- сравнительный анализ встроенных возможностей защиты известных веб-серверов: Apache, Microsoft IIS
- опасности и меры защиты при разработке удаленных веб-приложений: Frontpage, WebDAV, Expression Web
- компенсация слабостей кода при помощи балансировки нагрузки и экранов приложений
- инструментарий, методы и контрольные перечни защиты и аудита веб-серверов
- Серверы веб-приложений
- роли, архитектура и точки контроля безопасности для XML-ориентированных сред разработки и связанных с ними серверов веб-приложений
- декларативная и программная безопасность вызовов API
- оценка имеющихся служб защиты и связанная с ними лучшая практика для двух основных сред разработки веб-серверов приложений:
- Microsoft. NET Framework и связанные с ней компоненты ASP.NET
- Java 2 Enterprise Edition (J2EE)
- понимание и защита веб-служб OASIS и REST
- сервис-ориентированная архитектура (SOA): факты и вымысел
- инструменты и методики обеспечения безопасности и проведения аудита серверов веб-приложений и веб-служб
- Защита серверной составляющей веб-приложения: безопасность и аудит систем управления базами данных (СУБД)
- терминология, архитектура и функции СУБД и SQL
- присущие СУБД риски безопасности
- сравнительный анализ возможностей защиты и аудита основных СУБД, используемых в веб-приложениях: Oracle, Microsoft SQL Server, MySQL
- подключение и аутентификация в СУБД
- управление учетными записями пользователей и паролями
- разрешения, роли
- методы защиты объектов БД: контроль доступа, шифрование
- возможности журнала аудита БД
- журналы транзакций и другие средства контроля доступности БД
- встроенные инструменты аудита: таблицы словаря данных, хранимые процедуры
- инструментарий, методики и контрольные перечни по защите и аудиту СУБД
- Безопасность при разработке ПО веб-приложений
- компоненты и инструменты среды веб-приложения
- безопасность сценариев серверных веб-страниц: SSI, CGI, ASP, ASP.NET, PHP, JSP
- безопасность мобильного кода: Java, ActiveX, VBScript, JavaScript, AJAX, ActionScript
- распространенные уязвимости и атаки для веб-приложений: полный перебор (brute force), превышение привилегий (privilege escalation), включение сценариев пользователя в генерируемые сервером страницы (cross-site scripting), внедрение кода в SQL-запрос (SQL injection), переполнение буфера
- лучшая практика проверки корректности вводимых данных и обработки ошибок
- инструменты и методы тестирования и проверки ПО
- инструментарий, методики и контрольные перечни обеспечения безопасности при разработке приложений