БТ07

Безопасность Web-приложений: БТ07

ПОИСК

Быстрый заказ

ОЦЕНКА КУРСА

общая оценка курса:

оценка преподавателя:

Отзывов: 0

Стать преподавателем

Хочу скидку

В курсе о безопасности Web-приложений используются современные подходы к построению информационной инфраструктуры бизнеса на основе Web-технологий, рассматриваются уязвимости сетевых приложений и методы их устранения. Курс базируется на концепции глубокоэшелонированной защиты (Defence in depth), и включает методику поэтапной настройки всех компонентов, в том числе, сетевой инфраструктуры, базовых операционных систем, системы управления базами данных (СУБД), и собственно Web-приложения для надежной защиты от распространенных атак, а также для повышения устойчивости к новым атакам.

Особое внимание в курсе уделяется защите на прикладном уровне, рассматриваются распространенные ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы устранения.

Анализируются методики и инструментарий, необходимые для проведения работ по оценке защищенности Web-приложений других разработчиков. В качестве критериев для проведения аудита используются общепринятые классификации Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification.

Половина учебного времени отведена практическим работам и демонстрациям. В ходе выполнения практических работ слушатели получают навыки поиска и устранения уязвимостей в Web-приложениях. Практические работы проводятся на базе систем, представляющих собой типовые Web-приложения, содержащие распространенные уязвимости, в том числе, обнаруженные специалистами в процессе аудита безопасности Web-сайтов и клиентских приложений.

Выберите форму обучения, чтобы увидеть актуальные даты:

После изучения курса вы сможете

Вы приобретете знания:

о применении концепции Defence in depth к защите Web-приложений;
основных уязвимостей и атак на Web-приложения;
методов защиты Web-приложений;
классификаций уязвимостей Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification;
принципов построения эффективных систем аутентификации и разграничения доступа к Web-ресурсам;
методов поиска уязвимостей в Web-приложениях.

Вы сможете:

использовать средства аудита безопасности Web-приложений (Sleuth, WebScarab, Achilles, Odysseus, Paros);
выявлять уязвимости с использованием различных средств анализа защищенности, в т.ч. Nikto, XSpider, MaxPatrol;
настраивать системы безопасности компонентов Web-приложения (ОС, СУБД, Web-сервера);
конфигурировать специализированные средства защиты Web-приложений, такие как Web Application Firewall.

Содержание курса

Проблемы и основные понятия безопасности Web-технологий. Основные понятия безопасности Web-технологий. Уровни информационной инфраструктуры. Концепция глубокоэшелонированной защиты. Основные источники уязвимостей. Методы оценки уязвимостей системы. Источники информации об уязвимостях.
Многоуровневая защита web-приложения. Защита уровня сетевого взаимодействия. Защита уровня серверной операционной системы.
Защита уровня СУБД.
Базовые сведения о Web-технологиях. Протоколы и технологии Web. Протокол HTTP. Основные стандарты. Заголовки протокола. Методы передачи данных. Основные утилиты, используемые в курсе.
Уязвимости и атаки на Web-приложения. Причины возникновения уязвимостей. Атаки на Web-приложения. Список OWASP TOP 10. Классификация угроз Web Application Security Consortium.
Разглашение информации. Индексирование директорий. Идентификация приложений. Утечка информации. Обратный путь в директориях. Предсказуемое расположение ресурсов. Методы защиты. Защита критичных данных приложения.
Аутентификация. Методы аутентификации в Web-приложениях. Уязвимости аутентификации. Подбор. Недостаточная аутентификация. Небезопасное восстановление паролей.
Авторизация и идентификация сессии. Уязвимости реализации авторизации. Предсказуемое значение идентификатора сессии. Недостаточная авторизация. Отсутствие таймаута сессии. Фиксация сессии. Некорректные разрешения.
Уязвимости, приводящие к выполнению кода. Переполнение буфера. Атака на функции форматирования строк. Внедрение операторов LDAP. Выполнение команд операционной системы. Внедрение операторов SQL. Внедрение SQL кода вслепую. Внедрение серверных расширений. Внедрение XML. Внедрение почтовых команд.
Безопасность клиентских приложений. Подмена содержимого. Межсайтовое выполнение сценариев. Сохраненный вариант атаки. Отраженный вариант атаки. Использование внедрения сценариев. Защита от внедрения сценариев. Подделка HTTP-запросов.
Web 2.0. Концепция Web 2.0 и AJAX. Угрозы, связанные с технологией AJAX. Web-черви.
Логические атаки. Злоупотребление функциональными возможностями. Отказ в обслуживании. Недостаточное противодействие автоматизации. Недостаточная проверка процесса. Функции перенаправления. Расщепление HTTP-запросов и ответов.
Анализ защищенности Web-приложений. Методология анализа защищенности. Специфика Web-приложений. Автоматизированные средства поиска уязвимостей. Сканеры уязвимостей Web-приложений.
Дополнительные механизмы защиты Web-приложений. Межсетевые экраны для Web-приложений (Web Application Firewalls). Возможности и ограничения WAF. Примеры реализации WAF. Использование mod_security для защиты трафика.
Зачет

Слушатели

Системные и сетевые администраторы, ответственные за безопасность Web-приложений.
Администраторы информационной безопасности.
Эксперты и аналитики по вопросам компьютерной безопасности, ответственные за анализ состояния информационной безопасности, определение требований к защищенности сетевых ресурсов.
Разработчики Web-приложений.

Предварительная подготовка

Хорошее знание IP-сетей.
Знание основ Web-технологий (HTTP, HTML, ASP, JSP, SQL).
Навыки работы с ОС Windows 2000/XP/2003, Linux.