Безопасность Web-приложений
БТ12

В курсе рассматриваются уязвимости web–приложений на клиентской и серверной частях, основные ошибки совершаемые разработчиками и методы их устранения. Рассматриваются инструментарий, методики и критерии оценки защищённости web–приложений. Слушатели на практических примерах научатся выявлять и устранять уязвимости, отрабатывать меры противодействия различным типам атак.

Аудитория
  • Системные администраторы, инженеры и аудиторы, ответственные за обеспечение безотказного функционирования информационных систем.
  • Администраторы средств защиты, контроля и управления безопасностью, ответственные за сопровождение и администрирование средств защиты информации и средств анализа защищенности подсистем автоматизированных систем.
  • Разработчики Web-приложений.
Предварительный уровень подготовки

Хорошие знания сетевых технологий, принципов функционирования сетей, сетевых протоколов. Навыки администрирования операционных систем семейства Windows NT. Базовые знания ОС Linux.

Результат обучения

По окончании курса слушатели будут знать: 

  • Основные проблемы обеспечения безопасности Web-приложений;
  • Концепцию глубокоэшелонированной защиты ;
  • Основные виды атак на Web-приложения на стороне сервера и стороне клиента;
  • Основные виды уязвимостей Web-приложений;
  • Инструменты поиска уязвимостей в Web-приложениях;
  • Меры противодействия уязвимостям Web-приложений.

По окончании курса слушатели будут уметь:

  • Разрабатывать комплекс мероприятий для минимизации риска атак на Web-приложения;
  • Применять меры к минимизации риска атак на Web-приложения;
  • Применять сканеры уязвимостей для оценки защищённости Web-приложения;
  • Осуществлять сбор данных с Web–ресурса с целью оценки защищённости;
  • Применять некоторые типы атак на Web-приложения для пентеста.
Программа курса

Раздел 1. Введение (1 час) 

  • Безопасности Web-приложений, основные понятия и определения. Основные проблемы обеспечения безопасности Web-приложений. Уязвимости Web-приложений. Оценка защищённости системы. Базы данных уязвимостей Web-приложений .

Раздел 2. Концепция глубокоэшелонированной защиты. (1 час)

  •  Защита Web-сервера, серверной операционной системы, защита сетевого взаимодействия, защита СУБД.

Раздел 3. Основы Web-технологий (2 часа) 

  • Протоколы и технологии Web. Протокол HTTP. Анализ протокола. Основные стандарты. Заголовки протокола. Методы передачи данных.

Раздел 4. Атаки на Web-приложения.(2 часа)

  •  Уязвимости Web-приложений, причины их возникновения. Распространённые атаки на Web-приложения. Сценарии атак. Проект OWASP. Классификация угроз Web-приложений.

Раздел 5. Утечка информации с Web–ресурса (2 часа)

  • Разведка Web–ресурса злоумышленником. Сбор документов. Использование поисковых систем и специальных утилит. Индексирование директорий. Идентификация приложений. Обратный путь в директориях. Предсказуемое расположение ресурсов. Защита критичных данных приложения. Меры противодействия.

Раздел 6. Атаки на аутентификацию (1 час) 

  • Методы аутентификации в Web-приложениях. Уязвимости аутентификации. Подбор пароля. Недостаточная аутентификация. Небезопасное восстановление паролей. Методы усиления надёжности аутентификации.

Раздел 7. Перехват сеанса (1 час)

  •  Ключевые техники перехвата сеанса. Процесс перехвата сеанса. Типы перехвата сеанса. Предсказуемое значение идентификатора сеанса. Отсутствие таймаута сеанса. Фиксация сеанса. Инструменты для перехвата сеанса. Меры противодействия перехвату сеанса.

Практическая работа

 Раздел 8. Уязвимости, приводящие к выполнению кода (2 часа)

  • Переполнение буфера. Атака на функции форматирования строк. Внедрение операторов LDAP. Выполнение команд операционной системы. SQL-инъекции. Внедрение XML. Внедрение почтовых команд. Меры противодействия.

Раздел 9. Безопасность клиентских приложений. (2 часа)

  •  Подмена содержимого. XSS-атаки. Сохраненный вариант атаки. Отраженный вариант атаки. Использование внедрения сценариев. Подделка HTTP-запросов. Меры противодействия.

Раздел 10. Атаки на отказ в обслуживании. (1 часа)

  • Техники DoS/DDoS атак. Примеры реализация DDoS атак. Инструменты проведения DoS атак. Меры противодействия DoS атакам.

Раздел 11. Концепция Web 2.0 и AJAX (1 часа)

  • Основы Web 2.0 и AJAX. Угрозы, связанные с этими технологиями. Web-черви..

Раздел 12. Оценка защищённости и защита Web-приложений (1 часа)

  •  Автоматизированные средства поиска уязвимостей. Сканеры уязвимостей Web-приложений.
  • Межсетевые экраны для Web-приложений (Web Application Firewalls). Их возможности и ограничения.

Итоговый зачет (тест). 

Ближайшие курсы

Юнит_Тренинг-6 16.10 - 17.10.2025

Развивающее наставничество

Стоимость обучения в группе

40 000 ₽

Стоимость индивидуального обучения

60 500 ₽

Длительность

2 дня (16 ак. часов)

Or_Lin 20.10 - 21.10.2025

Oracle Database 11g: Особенности администрирования баз данных Oracle в среде Linux

Стоимость обучения в группе

35 200 ₽

Стоимость индивидуального обучения

58 500 ₽

Длительность

2 дня (16 ак. ч.)

Visio 20.10 - 21.10.2025

Visio моделирование. Визуализация данных в Visio. Инфографика

Стоимость обучения в группе

18 480 ₽

Стоимость индивидуального обучения

35 000 ₽

Длительность

2 дня (16 ак. ч.)

JS 20.10 - 22.10.2025

JavaScript. Основы веб - программирования

Стоимость обучения в группе

40 400 ₽

Стоимость индивидуального обучения

55 000 ₽

Длительность

3 дня (24 ак. ч.)

Asterisk_1 20.10 - 22.10.2025

Использование Asterisk в качестве профессиональной АТС

Стоимость обучения в группе

49 900 ₽

Стоимость индивидуального обучения

85 600 ₽

Длительность

3 дня (40 ак. ч.)

WebU 20.10 - 23.10.2025

Юзабилити сайтов. Проектирование веб – интерфейсов

Стоимость обучения в группе

32 860 ₽

Стоимость индивидуального обучения

53 500 ₽

Длительность

4 дня (32 ак. ч.)

AC7 20.10 - 23.10.2025

AutoCAD Civil 3D. Проектирование генплана и вертикальной планировки

Стоимость обучения в группе

39 830 ₽

Стоимость индивидуального обучения

72 050 ₽

Длительность

4 дня (36 ак. ч.)

LPI-101 20.10 - 24.10.2025

Администрирование GNU/Linux

Стоимость обучения в группе

36 960 ₽

Стоимость индивидуального обучения

55 500 ₽

Длительность

5 дней (40 ак. ч.)

SQL/PLpgSQL 20.10 - 24.10.2025

СУБД PostgreSQL. Основы SQL/PLpgSQL. Базовый курс

Стоимость обучения в группе

36 000 ₽

Стоимость индивидуального обучения

46 800 ₽

Длительность

40 ак. часов (5 дней)

20461 20.10 - 24.10.2025

Создание запросов к Microsoft SQL Server

Стоимость обучения в группе

39 250 ₽

Стоимость индивидуального обучения

65 500 ₽

Длительность

5 дней (40 ак. ч.)

ICBT_7 23.10 - 25.10.2025

Мастер стратегических сессий

Стоимость обучения в группе

99 000 ₽

Стоимость индивидуального обучения

125 000 ₽

Длительность

3 дня (24 ак. часа)

Agile/Scrum 24.10 - 25.10.2025

Гибкие методологии управления проектами (Agile/Scrum).

Стоимость обучения в группе

35 000 ₽

Стоимость индивидуального обучения

58 500 ₽

Длительность

2 дня (16 ак. ч.)

VSFT6.5 27.10 - 31.10.2025

VMWare vSphere: Fast Track

Стоимость обучения в группе

90 100 ₽

Стоимость индивидуального обучения

165 000 ₽

Длительность

5 дней (40 ак. ч.)

МО 27.10 - 31.10.2025

DATA SCIENCE. Применение машинного обучения

Стоимость обучения в группе

36 900 ₽

Стоимость индивидуального обучения

65 500 ₽

Длительность

5 дней (40 ак. ч.)

PGSQL_basics 27.10 - 31.10.2025

PostgreSQL уровень 1. Основы SQL

Стоимость обучения в группе

42 100 ₽

Стоимость индивидуального обучения

58 500 ₽

Длительность

5 дней (40 ак. ч.)

20740 27.10 - 31.10.2025

Установка, организация хранилища и работа в Windows Server 2016

Стоимость обучения в группе

39 100 ₽

Стоимость индивидуального обучения

65 000 ₽

Длительность

5 дней (40 ак. ч.)

10961 27.10 - 31.10.2025

Автоматизация администрирования с Windows PowerShell

Стоимость обучения в группе

41 000 ₽

Стоимость индивидуального обучения

65 000 ₽

Длительность

5 дней (40 ак. ч.)

NC1 27.10 - 31.10.2025

Проектирование в nanoCAD. Базовый курс

Стоимость обучения в группе

36 385 ₽

Стоимость индивидуального обучения

105 400 ₽

Длительность

4 дня (32 ак. ч.)

ARH-0300 27.10 - 31.10.2025

Углубленное администрирование Red Hat Linux

Стоимость обучения в группе

50 230 ₽

Стоимость индивидуального обучения

77 000 ₽

Длительность

5 дней (40 ак. ч.)

Compas 03.11 - 06.11.2025

Компас 3D

Стоимость обучения в группе

35 000 ₽

Стоимость индивидуального обучения

47 000 ₽

Длительность

3 дня (24 ак. ч.)

55273 05.11 - 05.11.2025

Microsoft Word 2019. Уровень 2

Стоимость обучения в группе

7 205 ₽

Стоимость индивидуального обучения

15 700 ₽

Длительность

1 день (8 ак. ч.)

Or12с_PLSQL 05.11 - 06.11.2025

Основы БД Oracle 12с: PL/SQL

Стоимость обучения в группе

29 300 ₽

Стоимость индивидуального обучения

48 500 ₽

Длительность

2 дня (16 ак. ч.)

PG_DBA1 05.11 - 07.11.2025

Администрирование PostgreSQL 16. Базовый курс

Стоимость обучения в группе

29 900 ₽

Стоимость индивидуального обучения

48 000 ₽

Длительность

3 дня (24 ак. ч.)

MS.NET 05.11 - 07.11.2025

Продвинутая разработка в Microsoft.NET

Стоимость обучения в группе

30 900 ₽

Стоимость индивидуального обучения

40 170 ₽

Длительность

3 дня (24 ак. ч.)

IPMA 05.11 - 07.11.2025

Основы управления проектами

Стоимость обучения в группе

39 035 ₽

Стоимость индивидуального обучения

85 850 ₽

Длительность

3 дня (24 ак. ч.)

ITPM 05.11 - 07.11.2025

Управление проектами ИТ. Практические аспекты

Стоимость обучения в группе

52 885 ₽

Стоимость индивидуального обучения

143 850 ₽

Длительность

3 дня (24 ак. ч.)

SQL-1 05.11 - 07.11.2025

Анализ данных на языке SQL

Стоимость обучения в группе

32 489 ₽

Стоимость индивидуального обучения

42 250 ₽

Длительность

24 ак. ч. (3 дня)

55293 05.11 - 07.11.2025

SharePoint 2019 конечный пользователь (SharePoint End User 2019)

Стоимость обучения в группе

34 450 ₽

Стоимость индивидуального обучения

47 740 ₽

Длительность

3 дня (24 ак. часа)

RDS 05.11 - 07.11.2025

Планирование, развёртывание и управление Remote Desktop Services

Стоимость обучения в группе

41 300 ₽

Стоимость индивидуального обучения

107 500 ₽

Длительность

3 дня (24 ак. ч.)

20465 05.11 - 07.11.2025

Проектирование решений на основе баз данных SQL Server 2014

Стоимость обучения в группе

31 750 ₽

Стоимость индивидуального обучения

48 500 ₽

Длительность

3 дня (24 ак. ч.)

55274 06.11 - 06.11.2025

Microsoft Word 2019. Уровень 3

Стоимость обучения в группе

8 070 ₽

Стоимость индивидуального обучения

15 000 ₽

Длительность

1 день (8 ак. ч.)

PG_миграция 06.11 - 07.11.2025

Миграция на Postgres: Подходы, проблемы и решения

Стоимость обучения в группе

32 170 ₽

Стоимость индивидуального обучения

77 000 ₽

Длительность

2 дня (16 ак. ч.)

ППиР 10.11 - 10.11.2025

Паттерны проектирования и рефакторинг

Стоимость обучения в группе

15 000 ₽

Стоимость индивидуального обучения

25 500 ₽

Длительность

1 день (8 ак. ч.)

IT-01 10.11 - 12.11.2025

Управление персоналом ИТ отдела. Использование рекомендаций библиотеки ITIL с блоком Практикум

Стоимость обучения в группе

35 200 ₽

Стоимость индивидуального обучения

65 000 ₽

Длительность

3 дня (24 ак. ч.)

10962 10.11 - 12.11.2025

Расширенные возможности по автоматизации администрирования с помощью Windows PowerShell

Стоимость обучения в группе

29 500 ₽

Стоимость индивидуального обучения

53 800 ₽

Длительность

3 дня (24 ак. ч.)

Python-3 10.11 - 14.11.2025

Разработка веб - приложений в Django. Уровень 3.

Стоимость обучения в группе

48 520 ₽

Стоимость индивидуального обучения

95 800 ₽

Длительность

5 дней (40 ак. ч.)

20345-1 10.11 - 14.11.2025

Администрирование Microsoft Exchange Server 2016

Стоимость обучения в группе

41 000 ₽

Стоимость индивидуального обучения

65 000 ₽

Длительность

5 дней (40 ак. ч.)

ICND 1 v3.0 10.11 - 14.11.2025

Использование сетевого оборудования Cisco (часть I) v3.0

Стоимость обучения в группе

51 035 ₽

Стоимость индивидуального обучения

85 000 ₽

Длительность

5 дней (40 ак. ч.)

ДИТ 10.11 - 14.11.2025

Директор по ИТ

Стоимость обучения в группе

80 650 ₽

Стоимость индивидуального обучения

105 000 ₽

Длительность

5 дней (40 ак. часов)

ОСТ-1_ю 10.11 - 14.11.2025

Основы сетевых технологий, I часть

Стоимость обучения в группе

69 535 ₽

Стоимость индивидуального обучения

90 395 ₽

Длительность

5 дней (40 ак. ч.)

PHP_Level2 10.11 - 14.11.2025

Профессиональная разработка на языке PHP

Стоимость обучения в группе

36 400 ₽

Стоимость индивидуального обучения

60 500 ₽

Длительность

5 дней (40 ак. ч.)

20410 10.11 - 14.11.2025

Установка и настройка Windows Server 2012 R2

Стоимость обучения в группе

38 000 ₽

Стоимость индивидуального обучения

64 000 ₽

Длительность

5 дней (40 ак. ч.)

20741 10.11 - 14.11.2025

Настройка сети в Windows Server 2016

Стоимость обучения в группе

39 100 ₽

Стоимость индивидуального обучения

65 000 ₽

Длительность

5 дней (40 ак. ч.)

LPI-105 10.11 - 14.11.2025

Автоматизация администрирования Linux

Стоимость обучения в группе

36 960 ₽

Стоимость индивидуального обучения

48 048 ₽

Длительность

40 ак. ч. (5 дней)