Аудитория курса:
Администраторы и специалисты по безопасности.
Проблемы безопасности Web-технологий.
Основные понятия безопасности Web-технологий.
Уровни информационной инфраструктуры.
Концепция глубокоэшелонированной защиты.
Основные источники уязвимостей.
Методы оценки уязвимостей системы.
Источники информации об уязвимостях.
Многоуровневая защита web-приложения.
Защита уровня сетевого взаимодействия.
Защита уровня серверной операционной системы.
Защита уровня СУБД.
Базовые сведения о Web-технологиях.
Протоколы и технологии Web.
Протокол HTTP. Основные стандарты.
Заголовки протокола.
Методы передачи данных.
Основные утилиты, используемые в курсе.
Уязвимости и атаки на Web-приложения.
Причины возникновения уязвимостей.
Атаки на Web-приложения.
Список OWASP TOP 10.
Классификация угроз Web Application Security Consortium.
Разглашение информации.
Индексирование директорий.
Идентификация приложений.
Утечка информации.
Обратный путь в директориях.
Предсказуемое расположение ресурсов.
Методы защиты. Защита критичных данных приложения.
Аутентификация.
Методы аутентификации в Web-приложениях.
Уязвимости аутентификации.
Подбор.
Недостаточная аутентификация.
Небезопасное восстановление паролей.
Авторизация и идентификация сессии.
Уязвимости реализации авторизации.
Предсказуемое значение идентификатора сессии.
Недостаточная авторизация.
Отсутствие таймаута сессии.
Фиксация сессии.
Некорректные разрешения.
Уязвимости, приводящие к выполнению кода.
Переполнение буфера.
Атака на функции форматирования строк.
Внедрение операторов LDAP.
Выполнение команд операционной системы.
Внедрение операторов SQL.
Внедрение SQL кода вслепую.
Внедрение серверных расширений.
Внедрение XML.
Внедрение почтовых команд.
Безопасность клиентских приложений.
Подмена содержимого.
Межсайтовое выполнение сценариев.
Сохраненный вариант атаки.
Отраженный вариант атаки.
Использование внедрения сценариев.
Защита от внедрения сценариев.
Подделка HTTP-запросов.
Web 2.0.
Концепция Web 2.0 и AJAX.
Угрозы, связанные с технологией AJAX.
Web-черви.
Логические атаки.
Злоупотребление функциональными возможностями.
Отказ в обслуживании.
Недостаточное противодействие автоматизации.
Недостаточная проверка процесса.
Функции перенаправления.
Расщепление HTTP-запросов и ответов.
Анализ защищенности Web-приложений.
Методология анализа защищенности.
Специфика Web-приложений.
Автоматизированные средства поиска уязвимостей.
Сканеры уязвимостей Web-приложений.
Дополнительные механизмы защиты Web-приложений.
Межсетевые экраны для Web-приложений (Web Application Firewalls).
Возможности и ограничения WAF.
Примеры реализации WAF.
Использование mod_security для защиты трафика.