Каталог курсов Импортозамещение
Учебный центр
Об учебном центре
Основные сведения и реквизиты
Структура и органы управления образовательной организацией
Документы
Образование
Образовательные стандарты
Педагогический состав
Материально-техническое обеспечение и оснащенность образовательного процесса
Стипендии и иные виды материальной поддержки
Платные образовательные услуги
Финансово-хозяйственная деятельность
Вакантные места для приема (перевода) обучающихся
Отзывы
Политика обработки персональных данных
Согласие на обработку персональных данных
Формы обучения
Видеолекции
ПЭК
Расписание
Информация
Новости
Статьи
Вакансии
Вопрос-ответ
Контакты
+7 (343) 286-17-86
+7 (343) 286-17-86
Заказать звонок
ПЭК
Каталог курсов Импортозамещение
ПЭК
ГлавнаяКурсыИнформзащитаИнформационная безопасностьБезопасность Web-приложений

Безопасность Web-приложений

Код: БТ07

В курсе БТ07 "Безопасность Web-приложений" используются современные подходы к построению информационной инфраструктуры бизнеса на основе Web-технологий, рассматриваются уязвимости сетевых приложений и методы их устранения. Курс базируется на концепции глубокоэшелонированной защиты (Defence in depth), и включает методику поэтапной настройки всех компонентов, в том числе, сетевой инфраструктуры, базовых операционных систем, системы управления базами данных (СУБД), и собственно Web-приложения для надежной защиты от распространенных атак, а также для повышения устойчивости к новым атакам.

Особое внимание в курсе уделяется защите на прикладном уровне, рассматриваются распространенные ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы устранения.

Анализируются методики и инструментарий, необходимые для проведения работ по оценке защищенности Web-приложений других разработчиков. В качестве критериев для проведения аудита используются общепринятые классификации Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification.

Формат проведения

-

Продолжительность

16 академических часов

Вендор

Информзащита

Тематика

Информационная безопасность
vendor

Вы научитесь

По окончании курса Вы приобретете знания:

  • о применении концепции Defence in depth к защите Web-приложений;
  • основных уязвимостей и атак на Web-приложения;
  • методов защиты Web-приложений;
  • классификаций уязвимостей Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification;
  • принципов построения эффективных систем аутентификации и разграничения доступа к Web-ресурсам;
  • методов поиска уязвимостей в Web-приложениях.

Вы сможете:

  • использовать средства аудита безопасности Web-приложений (Sleuth, WebScarab, Achilles, Odysseus, Paros);
  • выявлять уязвимости с использованием различных средств анализа защищенности, в т.ч. Nikto, XSpider, MaxPatrol;
  • настраивать системы безопасности компонентов Web-приложения (ОС, СУБД, Web-сервера);
  • конфигурировать специализированные средства защиты Web-приложений, такие как Web Application Firewall. 

Требования к предварительной подготовке слушателя

  • Хорошее знание IP-сетей.
  • Знание основ Web-технологий (HTTP, HTML, ASP, JSP, SQL).
  • Навыки работы с ОС Windows 2000/XP/2003, Linux.

Аудитория курса

  • Системные и сетевые администраторы, ответственные за безопасность Web-приложений.
  • Администраторы информационной безопасности.
  • Эксперты и аналитики по вопросам компьютерной безопасности, ответственные за анализ состояния информационной безопасности, определение требований к защищенности сетевых ресурсов.
  • Разработчики Web-приложений.

Содержание курса

Проблемы и основные понятия безопасности Web-технологий.
  • Основные понятия безопасности Web-технологий.
  • Уровни информационной инфраструктуры.
  • Концепция глубокоэшелонированной защиты.
  • Основные источники уязвимостей.
  • Методы оценки уязвимостей системы.
  • Источники информации об уязвимостях.
Многоуровневая защита web-приложения.
  • Защита уровня сетевого взаимодействия.
  • Защита уровня серверной операционной системы.
Защита уровня СУБД.

Базовые сведения о Web-технологиях.
  • Протоколы и технологии Web.
  • Протокол HTTP.
  • Основные стандарты.
  • Заголовки протокола.
  • Методы передачи данных.
  • Основные утилиты, используемые в курсе.
Уязвимости и атаки на Web-приложения.
  • Причины возникновения уязвимостей.
  • Атаки на Web-приложения.
  • Список OWASP TOP 10.
  • Классификация угроз Web Application Security Consortium.
Разглашение информации.
  • Индексирование директорий.
  • Идентификация приложений.
  • Утечка информации.
  • Обратный путь в директориях.
  • Предсказуемое расположение ресурсов.
  • Методы защиты.
  • Защита критичных данных приложения.
  • Аутентификация.
  • Методы аутентификации в Web-приложениях.
  • Уязвимости аутентификации.
  • Подбор.
  • Недостаточная аутентификация.
  • Небезопасное восстановление паролей.
Авторизация и идентификация сессии.
 
  • Уязвимости реализации авторизации.
  • Предсказуемое значение идентификатора сессии.
  • Недостаточная авторизация.
  • Отсутствие таймаута сессии.
  • Фиксация сессии.
  • Некорректные разрешения.
  • Уязвимости, приводящие к выполнению кода.
  • Переполнение буфера.
  • Атака на функции форматирования строк.
  • Внедрение операторов LDAP.
  • Выполнение команд операционной системы.
  • Внедрение операторов SQL.
  • Внедрение SQL кода вслепую.
  • Внедрение серверных расширений.
  • Внедрение XML.
  • Внедрение почтовых команд.
Безопасность клиентских приложений.
  • Подмена содержимого.
  • Межсайтовое выполнение сценариев.
  • Сохраненный вариант атаки.
  • Отраженный вариант атаки.
  • Использование внедрения сценариев.
  • Защита от внедрения сценариев.
  • Подделка HTTP-запросов.
  • Web 2.0. Концепция Web 2.0 и AJAX.
  • Угрозы, связанные с технологией AJAX.
  • Web-черви.
  • Логические атаки.
  • Злоупотребление функциональными возможностями.
  • Отказ в обслуживании.
  • Недостаточное противодействие автоматизации.
  • Недостаточная проверка процесса.
  • Функции перенаправления.
  • Расщепление HTTP-запросов и ответов.
  • Анализ защищенности Web-приложений.
  • Методология анализа защищенности.
  • Специфика Web-приложений.
  • Автоматизированные средства поиска уязвимостей.
  • Сканеры уязвимостей Web-приложений.
Дополнительные механизмы защиты Web-приложений.
  • Межсетевые экраны для Web-приложений (Web Application Firewalls).
  • Возможности и ограничения WAF.
  • Примеры реализации WAF.
  • Использование mod_security для защиты трафика
Безопасность Web-приложений
Дата скоро будет объявлена
27 000 ₽
Подать заявку
Затрудняетесь
с выбором курса?

Оставьте заявку на консультацию

Отправляя заявку, вы соглашаетесь с условиями обработки персональных данных

Как происходит обучение в АйТи Клауд

01 Выбор курса

В Учебном центре «АйТи Клауд» Вы можете подобрать курсы с полезным для Вас содержанием. УЦ «АйТи Клауд» готов предложить 1200+ программ различной тематики и степени сложности. Мы проводим курсы, авторизованные производителями ИТ, и также авторские программы от ведущих ИТ-экспертов.

02 Процесс обучения

Вы можете пройти обучение в различных форматах:

  • в очном - на территории Учебного центра либо территории Заказчика,

  • онлайн - на российской онлайн-платформе в режиме реального времени, через интернет, с выполнением всех необходимых практических заданий под онлайн-руководством преподавателя. 


03 Выдача документов

По завершении обучения Вы получите удостоверение о повышении сертификации или сертификат (если у Вас отсутствует диплом о высшем образовании). После обучения на авторизованных курсах Вам также будет выдан сертификат от производителя.

poster
Подробнее о формах обучения

Затрудняетесь
с выбором курса?

Оставьте заявку на консультацию

Отправляя заявку, вы соглашаетесь с условиями обработки персональных данных

Хотите преподавать в АйТи Клауд?

Если вы имеете компетенции и хотите работать тренером курсов в АйТи Клауд - оставьте ваши данные, мы свяжемся с вами!

Стать тренером Узнать больше