Безопасность Web-приложений
БТ12

• Системные администраторы, инженеры и аудиторы, ответственные за обеспечение безотказного функционирования информационных систем.
• Администраторы средств защиты, контроля и управления безопасностью, ответственные за сопровождение и администрирование средств защиты информации и средств анализа защищенности подсистем автоматизированных систем.
• Разработчики Web-приложений.

Хорошие знания сетевых технологий, принципов функционирования сетей, сетевых протоколов. Навыки администрирования операционных систем семейства Windows NT. Базовые знания ОС Linux.

По окончании курса слушатели будут знать: 

• Основные проблемы обеспечения безопасности Web-приложений;
• Концепцию глубокоэшелонированной защиты ;
• Основные виды атак на Web-приложения на стороне сервера и стороне клиента;
• Основные виды уязвимостей Web-приложений;
• Инструменты поиска уязвимостей в Web-приложениях;
• Меры противодействия уязвимостям Web-приложений.

По окончании курса слушатели будут уметь:

• Разрабатывать комплекс мероприятий для минимизации риска атак на Web-приложения;
• Применять меры к минимизации риска атак на Web-приложения;
• Применять сканеры уязвимостей для оценки защищённости Web-приложения;
• Осуществлять сбор данных с Web–ресурса с целью оценки защищённости;
• Применять некоторые типы атак на Web-приложения для пентеста.

Раздел 1. Введение (1 час) 

• Безопасности Web-приложений, основные понятия и определения. Основные проблемы обеспечения безопасности Web-приложений. Уязвимости Web-приложений. Оценка защищённости системы. Базы данных уязвимостей Web-приложений .

Раздел 2. Концепция глубокоэшелонированной защиты. (1 час)

•  Защита Web-сервера, серверной операционной системы, защита сетевого взаимодействия, защита СУБД.

Раздел 3. Основы Web-технологий (2 часа) 

• Протоколы и технологии Web. Протокол HTTP. Анализ протокола. Основные стандарты. Заголовки протокола. Методы передачи данных.

Раздел 4. Атаки на Web-приложения.(2 часа)

•  Уязвимости Web-приложений, причины их возникновения. Распространённые атаки на Web-приложения. Сценарии атак. Проект OWASP. Классификация угроз Web-приложений.

Раздел 5. Утечка информации с Web–ресурса (2 часа)

• Разведка Web–ресурса злоумышленником. Сбор документов. Использование поисковых систем и специальных утилит. Индексирование директорий. Идентификация приложений. Обратный путь в директориях. Предсказуемое расположение ресурсов. Защита критичных данных приложения. Меры противодействия.

Раздел 6. Атаки на аутентификацию (1 час) 

• Методы аутентификации в Web-приложениях. Уязвимости аутентификации. Подбор пароля. Недостаточная аутентификация. Небезопасное восстановление паролей. Методы усиления надёжности аутентификации.

Раздел 7. Перехват сеанса (1 час)

•  Ключевые техники перехвата сеанса. Процесс перехвата сеанса. Типы перехвата сеанса. Предсказуемое значение идентификатора сеанса. Отсутствие таймаута сеанса. Фиксация сеанса. Инструменты для перехвата сеанса. Меры противодействия перехвату сеанса.

Практическая работа

 Раздел 8. Уязвимости, приводящие к выполнению кода (2 часа)

• Переполнение буфера. Атака на функции форматирования строк. Внедрение операторов LDAP. Выполнение команд операционной системы. SQL-инъекции. Внедрение XML. Внедрение почтовых команд. Меры противодействия.

Раздел 9. Безопасность клиентских приложений. (2 часа)

•  Подмена содержимого. XSS-атаки. Сохраненный вариант атаки. Отраженный вариант атаки. Использование внедрения сценариев. Подделка HTTP-запросов. Меры противодействия.

Раздел 10. Атаки на отказ в обслуживании. (1 часа)

• Техники DoS/DDoS атак. Примеры реализация DDoS атак. Инструменты проведения DoS атак. Меры противодействия DoS атакам.

Раздел 11. Концепция Web 2.0 и AJAX (1 часа)

• Основы Web 2.0 и AJAX. Угрозы, связанные с этими технологиями. Web-черви..

Раздел 12. Оценка защищённости и защита Web-приложений (1 часа)

•  Автоматизированные средства поиска уязвимостей. Сканеры уязвимостей Web-приложений.
• Межсетевые экраны для Web-приложений (Web Application Firewalls). Их возможности и ограничения.

Итоговый зачет (тест).