В курсе БТ07 "Безопасность Web-приложений" используются современные подходы к построению информационной инфраструктуры бизнеса на основе Web-технологий, рассматриваются уязвимости сетевых приложений и методы их устранения. Курс базируется на концепции глубокоэшелонированной защиты (Defence in depth), и включает методику поэтапной настройки всех компонентов, в том числе, сетевой инфраструктуры, базовых операционных систем, системы управления базами данных (СУБД), и собственно Web-приложения для надежной защиты от распространенных атак, а также для повышения устойчивости к новым атакам.
Особое внимание в курсе уделяется защите на прикладном уровне, рассматриваются распространенные ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы устранения.
Анализируются методики и инструментарий, необходимые для проведения работ по оценке защищенности Web-приложений других разработчиков. В качестве критериев для проведения аудита используются общепринятые классификации Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification.
Стоимость курса
16 600 рубЦели курса:
По окончании курса Вы приобретете знания:
- о применении концепции Defence in depth к защите Web-приложений;
- основных уязвимостей и атак на Web-приложения;
- методов защиты Web-приложений;
- классификаций уязвимостей Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification;
- принципов построения эффективных систем аутентификации и разграничения доступа к Web-ресурсам;
- методов поиска уязвимостей в Web-приложениях.
Вы сможете:
- использовать средства аудита безопасности Web-приложений (Sleuth, WebScarab, Achilles, Odysseus, Paros);
- выявлять уязвимости с использованием различных средств анализа защищенности, в т.ч. Nikto, XSpider, MaxPatrol;
- настраивать системы безопасности компонентов Web-приложения (ОС, СУБД, Web-сервера);
- конфигурировать специализированные средства защиты Web-приложений, такие как Web Application Firewall.
Аудитория
- Системные и сетевые администраторы, ответственные за безопасность Web-приложений.
- Администраторы информационной безопасности.
- Эксперты и аналитики по вопросам компьютерной безопасности, ответственные за анализ состояния информационной безопасности, определение требований к защищенности сетевых ресурсов.
- Разработчики Web-приложений.
От слушателя требуется
- Хорошее знание IP-сетей.
- Знание основ Web-технологий (HTTP, HTML, ASP, JSP, SQL).
- Навыки работы с ОС Windows 2000/XP/2003, Linux.
Содержание курса
- Основные понятия безопасности Web-технологий.
- Уровни информационной инфраструктуры.
- Концепция глубокоэшелонированной защиты.
- Основные источники уязвимостей.
- Методы оценки уязвимостей системы.
- Источники информации об уязвимостях.
- Защита уровня сетевого взаимодействия.
- Защита уровня серверной операционной системы.
Базовые сведения о Web-технологиях.
- Протоколы и технологии Web.
- Протокол HTTP.
- Основные стандарты.
- Заголовки протокола.
- Методы передачи данных.
- Основные утилиты, используемые в курсе.
- Причины возникновения уязвимостей.
- Атаки на Web-приложения.
- Список OWASP TOP 10.
- Классификация угроз Web Application Security Consortium.
- Индексирование директорий.
- Идентификация приложений.
- Утечка информации.
- Обратный путь в директориях.
- Предсказуемое расположение ресурсов.
- Методы защиты.
- Защита критичных данных приложения.
- Аутентификация.
- Методы аутентификации в Web-приложениях.
- Уязвимости аутентификации.
- Подбор.
- Недостаточная аутентификация.
- Небезопасное восстановление паролей.
- Уязвимости реализации авторизации.
- Предсказуемое значение идентификатора сессии.
- Недостаточная авторизация.
- Отсутствие таймаута сессии.
- Фиксация сессии.
- Некорректные разрешения.
- Уязвимости, приводящие к выполнению кода.
- Переполнение буфера.
- Атака на функции форматирования строк.
- Внедрение операторов LDAP.
- Выполнение команд операционной системы.
- Внедрение операторов SQL.
- Внедрение SQL кода вслепую.
- Внедрение серверных расширений.
- Внедрение XML.
- Внедрение почтовых команд.
- Подмена содержимого.
- Межсайтовое выполнение сценариев.
- Сохраненный вариант атаки.
- Отраженный вариант атаки.
- Использование внедрения сценариев.
- Защита от внедрения сценариев.
- Подделка HTTP-запросов.
- Web 2.0. Концепция Web 2.0 и AJAX.
- Угрозы, связанные с технологией AJAX.
- Web-черви.
- Логические атаки.
- Злоупотребление функциональными возможностями.
- Отказ в обслуживании.
- Недостаточное противодействие автоматизации.
- Недостаточная проверка процесса.
- Функции перенаправления.
- Расщепление HTTP-запросов и ответов.
- Анализ защищенности Web-приложений.
- Методология анализа защищенности.
- Специфика Web-приложений.
- Автоматизированные средства поиска уязвимостей.
- Сканеры уязвимостей Web-приложений.
- Межсетевые экраны для Web-приложений (Web Application Firewalls).
- Возможности и ограничения WAF.
- Примеры реализации WAF.
- Использование mod_security для защиты трафика