Безопасность Web-приложений
БТ12

В курсе рассматриваются уязвимости web–приложений на клиентской и серверной частях, основные ошибки совершаемые разработчиками и методы их устранения. Рассматриваются инструментарий, методики и критерии оценки защищённости web–приложений. Слушатели на практических примерах научатся выявлять и устранять уязвимости, отрабатывать меры противодействия различным типам атак.

Аудитория
  • Системные администраторы, инженеры и аудиторы, ответственные за обеспечение безотказного функционирования информационных систем.
  • Администраторы средств защиты, контроля и управления безопасностью, ответственные за сопровождение и администрирование средств защиты информации и средств анализа защищенности подсистем автоматизированных систем.
  • Разработчики Web-приложений.
Предварительный уровень подготовки

Хорошие знания сетевых технологий, принципов функционирования сетей, сетевых протоколов. Навыки администрирования операционных систем семейства Windows NT. Базовые знания ОС Linux.

Результат обучения

По окончании курса слушатели будут знать: 

  • Основные проблемы обеспечения безопасности Web-приложений;
  • Концепцию глубокоэшелонированной защиты ;
  • Основные виды атак на Web-приложения на стороне сервера и стороне клиента;
  • Основные виды уязвимостей Web-приложений;
  • Инструменты поиска уязвимостей в Web-приложениях;
  • Меры противодействия уязвимостям Web-приложений.

По окончании курса слушатели будут уметь:

  • Разрабатывать комплекс мероприятий для минимизации риска атак на Web-приложения;
  • Применять меры к минимизации риска атак на Web-приложения;
  • Применять сканеры уязвимостей для оценки защищённости Web-приложения;
  • Осуществлять сбор данных с Web–ресурса с целью оценки защищённости;
  • Применять некоторые типы атак на Web-приложения для пентеста.
Программа курса

Раздел 1. Введение (1 час) 

  • Безопасности Web-приложений, основные понятия и определения. Основные проблемы обеспечения безопасности Web-приложений. Уязвимости Web-приложений. Оценка защищённости системы. Базы данных уязвимостей Web-приложений .

Раздел 2. Концепция глубокоэшелонированной защиты. (1 час)

  •  Защита Web-сервера, серверной операционной системы, защита сетевого взаимодействия, защита СУБД.

Раздел 3. Основы Web-технологий (2 часа) 

  • Протоколы и технологии Web. Протокол HTTP. Анализ протокола. Основные стандарты. Заголовки протокола. Методы передачи данных.

Раздел 4. Атаки на Web-приложения.(2 часа)

  •  Уязвимости Web-приложений, причины их возникновения. Распространённые атаки на Web-приложения. Сценарии атак. Проект OWASP. Классификация угроз Web-приложений.

Раздел 5. Утечка информации с Web–ресурса (2 часа)

  • Разведка Web–ресурса злоумышленником. Сбор документов. Использование поисковых систем и специальных утилит. Индексирование директорий. Идентификация приложений. Обратный путь в директориях. Предсказуемое расположение ресурсов. Защита критичных данных приложения. Меры противодействия.

Раздел 6. Атаки на аутентификацию (1 час) 

  • Методы аутентификации в Web-приложениях. Уязвимости аутентификации. Подбор пароля. Недостаточная аутентификация. Небезопасное восстановление паролей. Методы усиления надёжности аутентификации.

Раздел 7. Перехват сеанса (1 час)

  •  Ключевые техники перехвата сеанса. Процесс перехвата сеанса. Типы перехвата сеанса. Предсказуемое значение идентификатора сеанса. Отсутствие таймаута сеанса. Фиксация сеанса. Инструменты для перехвата сеанса. Меры противодействия перехвату сеанса.

Практическая работа

 Раздел 8. Уязвимости, приводящие к выполнению кода (2 часа)

  • Переполнение буфера. Атака на функции форматирования строк. Внедрение операторов LDAP. Выполнение команд операционной системы. SQL-инъекции. Внедрение XML. Внедрение почтовых команд. Меры противодействия.

Раздел 9. Безопасность клиентских приложений. (2 часа)

  •  Подмена содержимого. XSS-атаки. Сохраненный вариант атаки. Отраженный вариант атаки. Использование внедрения сценариев. Подделка HTTP-запросов. Меры противодействия.

Раздел 10. Атаки на отказ в обслуживании. (1 часа)

  • Техники DoS/DDoS атак. Примеры реализация DDoS атак. Инструменты проведения DoS атак. Меры противодействия DoS атакам.

Раздел 11. Концепция Web 2.0 и AJAX (1 часа)

  • Основы Web 2.0 и AJAX. Угрозы, связанные с этими технологиями. Web-черви..

Раздел 12. Оценка защищённости и защита Web-приложений (1 часа)

  •  Автоматизированные средства поиска уязвимостей. Сканеры уязвимостей Web-приложений.
  • Межсетевые экраны для Web-приложений (Web Application Firewalls). Их возможности и ограничения.

Итоговый зачет (тест). 

Ближайшие курсы

БТ10 11.08 - 13.08.2025

Аудит информационной безопасности

Стоимость обучения в группе

36 370 ₽

Стоимость индивидуального обучения

58 100 ₽

Длительность

3 дня (24 ак. ч.)

Primavera 11.08 - 13.08.2025

Управление проектами с использованием Oracle Primavera

Стоимость обучения в группе

31 900 ₽

Стоимость индивидуального обучения

59 000 ₽

Длительность

3 дня (24 ак. ч.)

PG_DBA2 11.08 - 14.08.2025

Администрирование PostgreSQL. Настройка и мониторинг

Стоимость обучения в группе

39 830 ₽

Стоимость индивидуального обучения

58 500 ₽

Длительность

4 дня (32 ак. ч.)

Компас-СМ 11.08 - 14.08.2025

Компас 3D. Скоростное моделирование

Стоимость обучения в группе

40 000 ₽

Стоимость индивидуального обучения

52 000 ₽

Длительность

32 ак. ч. (4 дня)

FBD-102 11.08 - 15.08.2025

Сетевое администрирование FreeBSD

Стоимость обучения в группе

36 960 ₽

Стоимость индивидуального обучения

55 500 ₽

Длительность

5 дней (40 ак. ч.)

10964 11.08 - 15.08.2025

Мониторинг ЦОД с System Center Operations Manager

Стоимость обучения в группе

37 850 ₽

Стоимость индивидуального обучения

68 000 ₽

Длительность

5 дней (40 ак. ч.)

20411 11.08 - 15.08.2025

Администрирование Windows Server 2012 R2

Стоимость обучения в группе

38 000 ₽

Стоимость индивидуального обучения

64 000 ₽

Длительность

5 дней (40 ак. ч.)

PG_DBA3 18.08 - 19.08.2025

Администрирование PostgreSQL. Резервное копирование и репликация

Стоимость обучения в группе

26 030 ₽

Стоимость индивидуального обучения

40 000 ₽

Длительность

2 дня (16 ак. ч.)

ЗПДн 18.08 - 20.08.2025

Обеспечение безопасности персональных данных при обработке в информационных системах персональных данных

Стоимость обучения в группе

35 200 ₽

Стоимость индивидуального обучения

58 100 ₽

Длительность

3 дня (72 ак. ч.)

SN 18.08 - 20.08.2025

Администрирование системы защиты информации от несанкционированного доступа Secret Net Studio. Автономная версия.

Стоимость обучения в группе

29 700 ₽

Стоимость индивидуального обучения

38 600 ₽

Длительность

3 дня (24 ак. ч.)

AC7 18.08 - 21.08.2025

AutoCAD Civil 3D. Проектирование генплана и вертикальной планировки

Стоимость обучения в группе

39 830 ₽

Стоимость индивидуального обучения

72 050 ₽

Длительность

4 дня (36 ак. ч.)

HCIP_DA 18.08 - 22.08.2025

Внедрение продвинутых технологий маршрутизации и коммутации Huawei

Стоимость обучения в группе

109 400 ₽

Стоимость индивидуального обучения

136 600 ₽

Длительность

5 дней (40 ак. часов)

FBD-201 18.08 - 22.08.2025

Углубленное администрирование FreeBSD

Стоимость обучения в группе

37 600 ₽

Стоимость индивидуального обучения

55 500 ₽

Длительность

5 дней (40 ак. ч.)

20412 18.08 - 22.08.2025

Настройка дополнительных сервисов Windows Server 2012 R2

Стоимость обучения в группе

38 000 ₽

Стоимость индивидуального обучения

64 000 ₽

Длительность

5 дней (40 ак. ч.)

55167 20.08 - 21.08.2025

Microsoft Excel 2016. Уровень 3

Стоимость обучения в группе

16 000 ₽

Стоимость индивидуального обучения

19 000 ₽

Длительность

2 дня (16 ак. ч.)

55273 21.08 - 21.08.2025

Microsoft Word 2019. Уровень 2

Стоимость обучения в группе

7 205 ₽

Стоимость индивидуального обучения

15 700 ₽

Длительность

1 день (8 ак. ч.)

55274 22.08 - 22.08.2025

Microsoft Word 2019. Уровень 3

Стоимость обучения в группе

8 070 ₽

Стоимость индивидуального обучения

15 000 ₽

Длительность

1 день (8 ак. ч.)

20483 25.08 - 29.08.2025

Программирование на C#

Стоимость обучения в группе

40 400 ₽

Стоимость индивидуального обучения

68 500 ₽

Длительность

5 дней (40 ак. ч.)

РЕДОС-101 25.08 - 29.08.2025

Системное администрирование РЕД ОС

Стоимость обучения в группе

37 400 ₽

Стоимость индивидуального обучения

65 000 ₽

Длительность

5 дней (40 ак. ч.)

LPI-101 25.08 - 29.08.2025

Администрирование GNU/Linux

Стоимость обучения в группе

36 960 ₽

Стоимость индивидуального обучения

55 500 ₽

Длительность

5 дней (40 ак. ч.)

PGSQL_advanced 25.08 - 29.08.2025

PostgreSQL: Уровень 2. Продвинутые аспекты

Стоимость обучения в группе

36 000 ₽

Стоимость индивидуального обучения

46 800 ₽

Длительность

40 ак. ч. (5 дней)

Lin_Debian 25.08 - 29.08.2025

Системное администрирование Debian. Расширенные возможности

Стоимость обучения в группе

56 650 ₽

Стоимость индивидуального обучения

75 000 ₽

Длительность

5 дней (65 ак. часов)

HCIP_DC 25.08 - 05.09.2025

Внедрение ключевых технологий направления Datacom Huawei

Стоимость обучения в группе

136 400 ₽

Стоимость индивидуального обучения

155 000 ₽

Длительность

80 ак. ч.

ROS-101 01.09 - 02.09.2025

Основы работы в РЕД ОС

Стоимость обучения в группе

17 000 ₽

Стоимость индивидуального обучения

26 000 ₽

Длительность

2 дня (16 ак. часов)

SQL-1 01.09 - 03.09.2025

Анализ данных на языке SQL

Стоимость обучения в группе

32 489 ₽

Стоимость индивидуального обучения

42 250 ₽

Длительность

24 ак. ч. (3 дня)

20779 01.09 - 03.09.2025

Анализ Данных с помощью Excel

Стоимость обучения в группе

29 050 ₽

Стоимость индивидуального обучения

45 400 ₽

Длительность

3 дня (24 ак. ч.)

IT-02 01.09 - 03.09.2025

Основы ITIL

Стоимость обучения в группе

31 750 ₽

Стоимость индивидуального обучения

60 500 ₽

Длительность

3 дня (24 ак. ч.)

Asterisk_2 01.09 - 03.09.2025

Продвинутый курс: Asterisk Корпоративная телефония

Стоимость обучения в группе

52 850 ₽

Стоимость индивидуального обучения

90 500 ₽

Длительность

3 дня (32 ак. ч.)

Компас-МП 01.09 - 04.09.2025

Компас 3D. Курс методики проектирования

Стоимость обучения в группе

42 900 ₽

Стоимость индивидуального обучения

55 770 ₽

Длительность

32 ак. ч. (4 дня)

WebU 01.09 - 04.09.2025

Юзабилити сайтов. Проектирование веб – интерфейсов

Стоимость обучения в группе

32 860 ₽

Стоимость индивидуального обучения

53 500 ₽

Длительность

4 дня (32 ак. ч.)

БТ04 01.09 - 05.09.2025

Защита информации в компьютерных сетях

Стоимость обучения в группе

52 075 ₽

Стоимость индивидуального обучения

95 500 ₽

Длительность

5 дней (40 ак. ч.)

20764 01.09 - 05.09.2025

Администрирование инфраструктуры базы данных SQL

Стоимость обучения в группе

40 350 ₽

Стоимость индивидуального обучения

65 300 ₽

Длительность

5 дней (40 ак. ч.)

ICND 1 v3.0 01.09 - 05.09.2025

Использование сетевого оборудования Cisco (часть I) v3.0

Стоимость обучения в группе

51 035 ₽

Стоимость индивидуального обучения

85 000 ₽

Длительность

5 дней (40 ак. ч.)

РЕДОС-102 01.09 - 05.09.2025

Сетевое администрирование РЕД ОС

Стоимость обучения в группе

37 400 ₽

Стоимость индивидуального обучения

65 000 ₽

Длительность

5 дней (40 ак. ч.)

Agile/Scrum 02.09 - 03.09.2025

Гибкие методологии управления проектами (Agile/Scrum).

Стоимость обучения в группе

35 000 ₽

Стоимость индивидуального обучения

58 500 ₽

Длительность

2 дня (16 ак. ч.)

СПром_видео 02.09 - 03.09.2025

Установка и настройка систем промышленного видеонаблюдения. Базовый курс

Стоимость обучения в группе

46 200 ₽

Стоимость индивидуального обучения

65 600 ₽

Длительность

2 дня (20 ак. часов)

132_1 08.09 - 09.09.2025

Макросы в Excel: практическое программирование. Уровень I.

Стоимость обучения в группе

24 995 ₽

Стоимость индивидуального обучения

38 600 ₽

Длительность

2 дня (16 ак. ч.)

55160 08.09 - 10.09.2025

Microsoft Excel 2016 Уровень 2. Расширенный

Стоимость обучения в группе

17 595 ₽

Стоимость индивидуального обучения

23 500 ₽

Длительность

3 дня (24 ак. ч.)

Or12c_SQLI 08.09 - 10.09.2025

Основы БД Oracle 12c: SQL часть I

Стоимость обучения в группе

38 700 ₽

Стоимость индивидуального обучения

58 500 ₽

Длительность

3 дня (24 ак. ч.)

Or11g_SQLI 08.09 - 10.09.2025

Основы БД Oracle 11g: SQL часть I

Стоимость обучения в группе

38 700 ₽

Стоимость индивидуального обучения

58 500 ₽

Длительность

3 дня (24 ак. ч.)

10987 08.09 - 11.09.2025

Настройка производительности и оптимизации баз данных SQL

Стоимость обучения в группе

38 100 ₽

Стоимость индивидуального обучения

55 500 ₽

Длительность

4 дня (32 ак. ч.)

VM2 v.8.0/7.0/6.5 08.09 - 12.09.2025

Продвинутый курс по оптимизации и решению проблем виртуальных сред VMware vSphere

Стоимость обучения в группе

77 600 ₽

Стоимость индивидуального обучения

115 000 ₽

Длительность

5 дней (40 ак. ч.)

Python-1 08.09 - 12.09.2025

Основы программирования Python. Уровень 1.

Стоимость обучения в группе

34 050 ₽

Стоимость индивидуального обучения

55 500 ₽

Длительность

5 дней (40 ак. ч.)

ROS-103 08.09 - 12.09.2025

Расширенное администрирование РЕД ОС

Стоимость обучения в группе

37 400 ₽

Стоимость индивидуального обучения

50 000 ₽

Длительность

5 дней (40 ак. ч.)

Or12c_SQLк 08.09 - 12.09.2025

Основы БД Oracle 12c: SQL- комплексная программа

Стоимость обучения в группе

62 300 ₽

Стоимость индивидуального обучения

106 000 ₽

Длительность

5 дней (40 ак. ч.)

Or11g_SQLк 08.09 - 12.09.2025

Основы БД Oracle 11g: SQL- комплексная программа

Стоимость обучения в группе

62 300 ₽

Стоимость индивидуального обучения

104 000 ₽

Длительность

5 дней (40 ак. ч.)

ICND 2 v3.0 08.09 - 12.09.2025

Использование сетевого оборудования Cisco (часть II) v3.0

Стоимость обучения в группе

51 035 ₽

Стоимость индивидуального обучения

85 000 ₽

Длительность

5 дней (40 ак. ч.)

MD-100T00 08.09 - 12.09.2025

Windows 10

Стоимость обучения в группе

45 550 ₽

Стоимость индивидуального обучения

65 500 ₽

Длительность

5 дней (40 ак. ч.)

РЕДОС-103 08.09 - 12.09.2025

Расширенное администрирование РЕД ОС

Стоимость обучения в группе

37 400 ₽

Стоимость индивидуального обучения

65 000 ₽

Длительность

5 дней (40 ак. часов)