Безопасность Web-приложений
БТ12

В курсе рассматриваются уязвимости web–приложений на клиентской и серверной частях, основные ошибки совершаемые разработчиками и методы их устранения. Рассматриваются инструментарий, методики и критерии оценки защищённости web–приложений. Слушатели на практических примерах научатся выявлять и устранять уязвимости, отрабатывать меры противодействия различным типам атак.

Аудитория
  • Системные администраторы, инженеры и аудиторы, ответственные за обеспечение безотказного функционирования информационных систем.
  • Администраторы средств защиты, контроля и управления безопасностью, ответственные за сопровождение и администрирование средств защиты информации и средств анализа защищенности подсистем автоматизированных систем.
  • Разработчики Web-приложений.
Предварительный уровень подготовки

Хорошие знания сетевых технологий, принципов функционирования сетей, сетевых протоколов. Навыки администрирования операционных систем семейства Windows NT. Базовые знания ОС Linux.

Результат обучения

По окончании курса слушатели будут знать: 

  • Основные проблемы обеспечения безопасности Web-приложений;
  • Концепцию глубокоэшелонированной защиты ;
  • Основные виды атак на Web-приложения на стороне сервера и стороне клиента;
  • Основные виды уязвимостей Web-приложений;
  • Инструменты поиска уязвимостей в Web-приложениях;
  • Меры противодействия уязвимостям Web-приложений.

По окончании курса слушатели будут уметь:

  • Разрабатывать комплекс мероприятий для минимизации риска атак на Web-приложения;
  • Применять меры к минимизации риска атак на Web-приложения;
  • Применять сканеры уязвимостей для оценки защищённости Web-приложения;
  • Осуществлять сбор данных с Web–ресурса с целью оценки защищённости;
  • Применять некоторые типы атак на Web-приложения для пентеста.
Программа курса

Раздел 1. Введение (1 час) 

  • Безопасности Web-приложений, основные понятия и определения. Основные проблемы обеспечения безопасности Web-приложений. Уязвимости Web-приложений. Оценка защищённости системы. Базы данных уязвимостей Web-приложений .

Раздел 2. Концепция глубокоэшелонированной защиты. (1 час)

  •  Защита Web-сервера, серверной операционной системы, защита сетевого взаимодействия, защита СУБД.

Раздел 3. Основы Web-технологий (2 часа) 

  • Протоколы и технологии Web. Протокол HTTP. Анализ протокола. Основные стандарты. Заголовки протокола. Методы передачи данных.

Раздел 4. Атаки на Web-приложения.(2 часа)

  •  Уязвимости Web-приложений, причины их возникновения. Распространённые атаки на Web-приложения. Сценарии атак. Проект OWASP. Классификация угроз Web-приложений.

Раздел 5. Утечка информации с Web–ресурса (2 часа)

  • Разведка Web–ресурса злоумышленником. Сбор документов. Использование поисковых систем и специальных утилит. Индексирование директорий. Идентификация приложений. Обратный путь в директориях. Предсказуемое расположение ресурсов. Защита критичных данных приложения. Меры противодействия.

Раздел 6. Атаки на аутентификацию (1 час) 

  • Методы аутентификации в Web-приложениях. Уязвимости аутентификации. Подбор пароля. Недостаточная аутентификация. Небезопасное восстановление паролей. Методы усиления надёжности аутентификации.

Раздел 7. Перехват сеанса (1 час)

  •  Ключевые техники перехвата сеанса. Процесс перехвата сеанса. Типы перехвата сеанса. Предсказуемое значение идентификатора сеанса. Отсутствие таймаута сеанса. Фиксация сеанса. Инструменты для перехвата сеанса. Меры противодействия перехвату сеанса.

Практическая работа

 Раздел 8. Уязвимости, приводящие к выполнению кода (2 часа)

  • Переполнение буфера. Атака на функции форматирования строк. Внедрение операторов LDAP. Выполнение команд операционной системы. SQL-инъекции. Внедрение XML. Внедрение почтовых команд. Меры противодействия.

Раздел 9. Безопасность клиентских приложений. (2 часа)

  •  Подмена содержимого. XSS-атаки. Сохраненный вариант атаки. Отраженный вариант атаки. Использование внедрения сценариев. Подделка HTTP-запросов. Меры противодействия.

Раздел 10. Атаки на отказ в обслуживании. (1 часа)

  • Техники DoS/DDoS атак. Примеры реализация DDoS атак. Инструменты проведения DoS атак. Меры противодействия DoS атакам.

Раздел 11. Концепция Web 2.0 и AJAX (1 часа)

  • Основы Web 2.0 и AJAX. Угрозы, связанные с этими технологиями. Web-черви..

Раздел 12. Оценка защищённости и защита Web-приложений (1 часа)

  •  Автоматизированные средства поиска уязвимостей. Сканеры уязвимостей Web-приложений.
  • Межсетевые экраны для Web-приложений (Web Application Firewalls). Их возможности и ограничения.

Итоговый зачет (тест). 

Ближайшие курсы

ViPNet 4 29.07 - 31.07.2024

Администрирование системы защиты информации ViPNet 4 (Программно-аппаратные комплексы VipNet)

Стоимость обучения в группе

30 960 ₽

Стоимость индивидуального обучения

53 100 ₽

Длительность

3 дня (72 ак. ч.)

БТ_ОДП 29.07 - 01.08.2024

Организация защиты информации ограниченного доступа на предприятии

Стоимость обучения в группе

39 340 ₽

Стоимость индивидуального обучения

51 142 ₽

Длительность

4 дня (32 ак. часа)

20339-1 29.07 - 02.08.2024

Планирование и администрирование SharePoint 2016

Стоимость обучения в группе

37 260 ₽

Стоимость индивидуального обучения

63 500 ₽

Длительность

5 дней (40 ак. ч.)

БТ01 29.07 - 02.08.2024

Безопасность информационных технологий

Стоимость обучения в группе

49 880 ₽

Стоимость индивидуального обучения

89 500 ₽

Длительность

5 дней (40 ак. ч.)

PG_ClickHouse 29.07 - 02.08.2024

Язык запросов SQL в базах данных Postgresql и ClickHouse

Стоимость обучения в группе

95 000 ₽

Стоимость индивидуального обучения

180 000 ₽

Длительность

5 дней (40 ак. часов)

LPI-101 29.07 - 02.08.2024

Администрирование GNU/Linux

Стоимость обучения в группе

33 600 ₽

Стоимость индивидуального обучения

51 350 ₽

Длительность

5 дней (40 ак. ч.)

Python-N&D 29.07 - 02.08.2024

Расширенный курс по NGINX и Docker. Уровень 4

Стоимость обучения в группе

36 210 ₽

Стоимость индивидуального обучения

50 480 ₽

Длительность

5 дней (40 ак. часов)

VSTW7.0/6.5 29.07 - 02.08.2024

VMware vSphere: Troubleshooting Workshop

Стоимость обучения в группе

124 900 ₽

Стоимость индивидуального обучения

159 500 ₽

Длительность

5 дней (40 ак. ч.)

DESIGN 3.0 29.07 - 02.08.2024

Проектирование сетей Cisco

Стоимость обучения в группе

79 785 ₽

Стоимость индивидуального обучения

111 100 ₽

Длительность

5 дней (40 ак. ч.)

PHP_Level1 29.07 - 02.08.2024

Основы web-программирования на языке PHP

Стоимость обучения в группе

32 115 ₽

Стоимость индивидуального обучения

55 500 ₽

Длительность

5 дней (40 ак. ч.)

20762 29.07 - 02.08.2024

Разработка баз данных SQL

Стоимость обучения в группе

36 685 ₽

Стоимость индивидуального обучения

61 300 ₽

Длительность

5 дней (40 ак. ч.)

20462 29.07 - 02.08.2024

Администрирование баз данных Microsoft SQL Server

Стоимость обучения в группе

35 685 ₽

Стоимость индивидуального обучения

59 500 ₽

Длительность

5 дней (40 ак. ч.)

AACM 29.07 - 02.08.2024

Базовое администрирование АТС Avaya Aura Communication Manager 7

Стоимость обучения в группе

62 735 ₽

Стоимость индивидуального обучения

90 450 ₽

Длительность

5 дней (40 ак. ч.)

TypeScript 31.07 - 31.07.2024

Язык программирования TypeScript

Стоимость обучения в группе

12 600 ₽

Стоимость индивидуального обучения

24 350 ₽

Длительность

1 день (10 ак. ч.)

PG_DBA1 31.07 - 02.08.2024

Администрирование PostgreSQL 16. Базовый курс

Стоимость обучения в группе

27 165 ₽

Стоимость индивидуального обучения

43 000 ₽

Длительность

3 дня (24 ак. ч.)

PG_DBA2 05.08 - 08.08.2024

Администрирование PostgreSQL. Настройка и мониторинг

Стоимость обучения в группе

36 210 ₽

Стоимость индивидуального обучения

53 500 ₽

Длительность

4 дня (32 ак. ч.)

20740 05.08 - 09.08.2024

Установка, организация хранилища и работа в Windows Server 2016

Стоимость обучения в группе

35 530 ₽

Стоимость индивидуального обучения

61 500 ₽

Длительность

5 дней (40 ак. ч.)

55201 05.08 - 09.08.2024

Microsoft Project Professional 2016. Управление проектами

Стоимость обучения в группе

35 160 ₽

Стоимость индивидуального обучения

65 000 ₽

Длительность

5 дней (40 ак. ч.)

20345-1-B 05.08 - 09.08.2024

Администрирование Microsoft Exchange Server 2016/2019

Стоимость обучения в группе

37 260 ₽

Стоимость индивидуального обучения

63 500 ₽

Длительность

5 дней (40 ак. ч.)

20339-2 05.08 - 09.08.2024

Передовые технологии SharePoint 2016

Стоимость обучения в группе

37 260 ₽

Стоимость индивидуального обучения

63 500 ₽

Длительность

5 дней (40 ак. ч.)

10266 05.08 - 09.08.2024

Программирование на языке C# 4.0 в среде разработки MS Visual Studio 2010

Стоимость обучения в группе

36 735 ₽

Стоимость индивидуального обучения

43 850 ₽

Длительность

5 дней (40 ак. ч.)

PHP_Level2 05.08 - 09.08.2024

Профессиональная разработка на языке PHP

Стоимость обучения в группе

33 060 ₽

Стоимость индивидуального обучения

55 500 ₽

Длительность

5 дней (40 ак. ч.)

PGSQL_develop 05.08 - 09.08.2024

PostgreSQL для разработчиков: SQL, PL/PgSQL, Java

Стоимость обучения в группе

39 360 ₽

Стоимость индивидуального обучения

53 500 ₽

Длительность

5 дней (40 ак. ч.)

20764 05.08 - 09.08.2024

Администрирование инфраструктуры базы данных SQL

Стоимость обучения в группе

36 685 ₽

Стоимость индивидуального обучения

61 300 ₽

Длительность

5 дней (40 ак. ч.)

HCIA_DC 05.08 - 23.08.2024

Курс подготовки специалиста Huawei по технологиям и оборудованию передачи данных. Базовый уровень.

Стоимость обучения в группе

110 000 ₽

Стоимость индивидуального обучения

143 000 ₽

Длительность

80 ак. ч.

20741 12.08 - 16.08.2024

Настройка сети в Windows Server 2016

Стоимость обучения в группе

35 530 ₽

Стоимость индивидуального обучения

61 500 ₽

Длительность

5 дней (40 ак. ч.)

20743 12.08 - 16.08.2024

Обновление навыков до MCSA Windows Server 2016

Стоимость обучения в группе

35 530 ₽

Стоимость индивидуального обучения

61 500 ₽

Длительность

5 дней (40 ак. ч.)

LPI-203 12.08 - 16.08.2024

Виртуализация и кластеризация ОС Linux

Стоимость обучения в группе

36 750 ₽

Стоимость индивидуального обучения

53 500 ₽

Длительность

5 дней (40 ак. ч.)

БТ17 12.08 - 16.08.2024

Расследование компьютерных инцидентов. Компьютерная криминалистика

Стоимость обучения в группе

47 500 ₽

Стоимость индивидуального обучения

72 900 ₽

Длительность

5 дней (40 ак. ч.)

Python-N&D 12.08 - 16.08.2024

Расширенный курс по NGINX и Docker. Уровень 4

Стоимость обучения в группе

36 210 ₽

Стоимость индивидуального обучения

50 480 ₽

Длительность

5 дней (40 ак. часов)

MD-100T00 12.08 - 16.08.2024

Windows 10

Стоимость обучения в группе

41 410 ₽

Стоимость индивидуального обучения

61 500 ₽

Длительность

5 дней (40 ак. ч.)

X4 14.08 - 15.08.2024

Работа с XML, XSD XSLT, Xpath

Стоимость обучения в группе

20 840 ₽

Стоимость индивидуального обучения

34 000 ₽

Длительность

2 дня (16 ак. ч.)

Or12c_NFD 19.08 - 21.08.2024

Новые особенности Oracle 12c для разработчиков SQL запросов и PL/SQL модулей

Стоимость обучения в группе

52 645 ₽

Стоимость индивидуального обучения

93 500 ₽

Длительность

3 дня (24 ак. ч.)

ЗПДн 19.08 - 21.08.2024

Обеспечение безопасности персональных данных при обработке в информационных системах персональных данных

Стоимость обучения в группе

32 010 ₽

Стоимость индивидуального обучения

53 100 ₽

Длительность

3 дня (72 ак. ч.)

MS.NET 19.08 - 21.08.2024

Продвинутая разработка в Microsoft.NET

Стоимость обучения в группе

30 900 ₽

Стоимость индивидуального обучения

40 170 ₽

Длительность

3 дня (24 ак. ч.)

20345-2-B 19.08 - 23.08.2024

Дизайн и развертывание Microsoft Exchange Server 2016/2019

Стоимость обучения в группе

37 260 ₽

Стоимость индивидуального обучения

63 500 ₽

Длительность

5 дней (40 ак. ч.)

Or12c_DBA1 19.08 - 23.08.2024

Администрирование Oracle 12c. Часть I.

Стоимость обучения в группе

52 645 ₽

Стоимость индивидуального обучения

93 500 ₽

Длительность

5 дней (40 ак. ч.)

Or11g_DBAI 19.08 - 23.08.2024

Администрирование Oracle 11g. Часть I

Стоимость обучения в группе

46 710 ₽

Стоимость индивидуального обучения

75 000 ₽

Длительность

5 дней (40 ак. ч.)

PGSQL_basics 19.08 - 23.08.2024

PostgreSQL уровень 1. Основы SQL

Стоимость обучения в группе

38 260 ₽

Стоимость индивидуального обучения

53 500 ₽

Длительность

5 дней (40 ак. ч.)

МО 19.08 - 23.08.2024

DATA SCIENCE. Применение машинного обучения

Стоимость обучения в группе

33 535 ₽

Стоимость индивидуального обучения

55 350 ₽

Длительность

5 дней (40 ак. ч.)

Java SE-2 19.08 - 23.08.2024

Java SE: Дополнительные главы

Стоимость обучения в группе

46 765 ₽

Стоимость индивидуального обучения

59 000 ₽

Длительность

5 дней (40 ак. ч.)

1С_41 19.08 - 30.08.2024

Программирование в системе 1С:Предприятие 8.3» (самый полный курс для программистов 1С)

Стоимость обучения в группе

54 408 ₽

Длительность

10 дней (80 ак. ч.)

1С_Query 19.08 - 22.08.2024

Использование запросов в системе 1С:Предприятие 8.

Стоимость обучения в группе

19 800 ₽

Стоимость индивидуального обучения

25 740 ₽

Длительность

4 дня (18 ак. ч.)

Or12c_APLS0 22.08 - 24.08.2024

Передовые методы PL/SQL

Стоимость обучения в группе

43 560 ₽

Стоимость индивидуального обучения

53 000 ₽

Длительность

3 дня (24 ак. ч.)

Or11g_APLS 22.08 - 24.08.2024

Передовые методы PL/SQL

Стоимость обучения в группе

43 560 ₽

Стоимость индивидуального обучения

53 000 ₽

Длительность

3 дня (24 ак. ч.)

БТ10 22.08 - 24.08.2024

Аудит информационной безопасности

Стоимость обучения в группе

33 060 ₽

Стоимость индивидуального обучения

53 100 ₽

Длительность

3 дня (24 ак. ч.)