Курс Безопасность Web-приложений

Код: БТ07

Продолжительность курса

16 Академических часов

В курсе БТ07 "Безопасность Web-приложений" используются современные подходы к построению информационной инфраструктуры бизнеса на основе Web-технологий, рассматриваются уязвимости сетевых приложений и методы их устранения. Курс базируется на концепции глубокоэшелонированной защиты (Defence in depth), и включает методику поэтапной настройки всех компонентов, в том числе, сетевой инфраструктуры, базовых операционных систем, системы управления базами данных (СУБД), и собственно Web-приложения для надежной защиты от распространенных атак, а также для повышения устойчивости к новым атакам.

Особое внимание в курсе уделяется защите на прикладном уровне, рассматриваются распространенные ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы устранения.

Анализируются методики и инструментарий, необходимые для проведения работ по оценке защищенности Web-приложений других разработчиков. В качестве критериев для проведения аудита используются общепринятые классификации Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification.

Стоимость курса

16 600 руб
Заказать

Цели курса:

По окончании курса Вы приобретете знания:

  • о применении концепции Defence in depth к защите Web-приложений;
  • основных уязвимостей и атак на Web-приложения;
  • методов защиты Web-приложений;
  • классификаций уязвимостей Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification;
  • принципов построения эффективных систем аутентификации и разграничения доступа к Web-ресурсам;
  • методов поиска уязвимостей в Web-приложениях.

Вы сможете:

  • использовать средства аудита безопасности Web-приложений (Sleuth, WebScarab, Achilles, Odysseus, Paros);
  • выявлять уязвимости с использованием различных средств анализа защищенности, в т.ч. Nikto, XSpider, MaxPatrol;
  • настраивать системы безопасности компонентов Web-приложения (ОС, СУБД, Web-сервера);
  • конфигурировать специализированные средства защиты Web-приложений, такие как Web Application Firewall. 

Аудитория

  • Системные и сетевые администраторы, ответственные за безопасность Web-приложений.
  • Администраторы информационной безопасности.
  • Эксперты и аналитики по вопросам компьютерной безопасности, ответственные за анализ состояния информационной безопасности, определение требований к защищенности сетевых ресурсов.
  • Разработчики Web-приложений.

От слушателя требуется

  • Хорошее знание IP-сетей.
  • Знание основ Web-технологий (HTTP, HTML, ASP, JSP, SQL).
  • Навыки работы с ОС Windows 2000/XP/2003, Linux.

Содержание курса

Проблемы и основные понятия безопасности Web-технологий.
  • Основные понятия безопасности Web-технологий.
  • Уровни информационной инфраструктуры.
  • Концепция глубокоэшелонированной защиты.
  • Основные источники уязвимостей.
  • Методы оценки уязвимостей системы.
  • Источники информации об уязвимостях.
Многоуровневая защита web-приложения.
  • Защита уровня сетевого взаимодействия.
  • Защита уровня серверной операционной системы.
Защита уровня СУБД.

Базовые сведения о Web-технологиях.
  • Протоколы и технологии Web.
  • Протокол HTTP.
  • Основные стандарты.
  • Заголовки протокола.
  • Методы передачи данных.
  • Основные утилиты, используемые в курсе.
Уязвимости и атаки на Web-приложения.
  • Причины возникновения уязвимостей.
  • Атаки на Web-приложения.
  • Список OWASP TOP 10.
  • Классификация угроз Web Application Security Consortium.
Разглашение информации.
  • Индексирование директорий.
  • Идентификация приложений.
  • Утечка информации.
  • Обратный путь в директориях.
  • Предсказуемое расположение ресурсов.
  • Методы защиты.
  • Защита критичных данных приложения.
  • Аутентификация.
  • Методы аутентификации в Web-приложениях.
  • Уязвимости аутентификации.
  • Подбор.
  • Недостаточная аутентификация.
  • Небезопасное восстановление паролей.
Авторизация и идентификация сессии.
 
  • Уязвимости реализации авторизации.
  • Предсказуемое значение идентификатора сессии.
  • Недостаточная авторизация.
  • Отсутствие таймаута сессии.
  • Фиксация сессии.
  • Некорректные разрешения.
  • Уязвимости, приводящие к выполнению кода.
  • Переполнение буфера.
  • Атака на функции форматирования строк.
  • Внедрение операторов LDAP.
  • Выполнение команд операционной системы.
  • Внедрение операторов SQL.
  • Внедрение SQL кода вслепую.
  • Внедрение серверных расширений.
  • Внедрение XML.
  • Внедрение почтовых команд.
Безопасность клиентских приложений.
  • Подмена содержимого.
  • Межсайтовое выполнение сценариев.
  • Сохраненный вариант атаки.
  • Отраженный вариант атаки.
  • Использование внедрения сценариев.
  • Защита от внедрения сценариев.
  • Подделка HTTP-запросов.
  • Web 2.0. Концепция Web 2.0 и AJAX.
  • Угрозы, связанные с технологией AJAX.
  • Web-черви.
  • Логические атаки.
  • Злоупотребление функциональными возможностями.
  • Отказ в обслуживании.
  • Недостаточное противодействие автоматизации.
  • Недостаточная проверка процесса.
  • Функции перенаправления.
  • Расщепление HTTP-запросов и ответов.
  • Анализ защищенности Web-приложений.
  • Методология анализа защищенности.
  • Специфика Web-приложений.
  • Автоматизированные средства поиска уязвимостей.
  • Сканеры уязвимостей Web-приложений.
Дополнительные механизмы защиты Web-приложений.
  • Межсетевые экраны для Web-приложений (Web Application Firewalls).
  • Возможности и ограничения WAF.
  • Примеры реализации WAF.
  • Использование mod_security для защиты трафика