Казахстан, г. Алматы, ул. Шевченко 90, БЦ «Каратал», офис 53
Казахстан, г. Астана, ул. Иманова 19, БЦ Деловой Дом "Алма-Ата", офис 612

+7 (701) 540 14 64

Информационная безопасность Web-приложений

направление: Для технических специалистов кол-во дней: 3
вендор: Информационная безопасность кол-во часов: 24
код курса: SBT-01

Аудитория курса:

Администраторы и специалисты по безопасности.

Проблемы безопасности Web-технологий.

  • Основные понятия безопасности Web-технологий.

  • Уровни информационной инфраструктуры.

  • Концепция глубокоэшелонированной защиты.

  • Основные источники уязвимостей.

  • Методы оценки уязвимостей системы.

  • Источники информации об уязвимостях.

Многоуровневая защита web-приложения.

  • Защита уровня сетевого взаимодействия.

  • Защита уровня серверной операционной системы.

Защита уровня СУБД.

Базовые сведения о Web-технологиях.

  • Протоколы и технологии Web.

  • Протокол HTTP. Основные стандарты.

  • Заголовки протокола.

  • Методы передачи данных.

  • Основные утилиты, используемые в курсе.

Уязвимости и атаки на Web-приложения.

  • Причины возникновения уязвимостей.

  • Атаки на Web-приложения.

  • Список OWASP TOP 10.

  • Классификация угроз Web Application Security Consortium.

Разглашение информации.

  • Индексирование директорий.

  • Идентификация приложений.

  • Утечка информации.

  • Обратный путь в директориях.

  • Предсказуемое расположение ресурсов.

  • Методы защиты. Защита критичных данных приложения.

Аутентификация.

  • Методы аутентификации в Web-приложениях.

  • Уязвимости аутентификации.

  • Подбор.

  • Недостаточная аутентификация.

  • Небезопасное восстановление паролей.

Авторизация и идентификация сессии.

  • Уязвимости реализации авторизации.

  • Предсказуемое значение идентификатора сессии.

  • Недостаточная авторизация.

  • Отсутствие таймаута сессии.

  • Фиксация сессии.

  • Некорректные разрешения.

Уязвимости, приводящие к выполнению кода.

  • Переполнение буфера.

  • Атака на функции форматирования строк.

  • Внедрение операторов LDAP.

  • Выполнение команд операционной системы.

  • Внедрение операторов SQL.

  • Внедрение SQL кода вслепую.

  • Внедрение серверных расширений.

  • Внедрение XML.

  • Внедрение почтовых команд.

Безопасность клиентских приложений.

  • Подмена содержимого.

  • Межсайтовое выполнение сценариев.

  • Сохраненный вариант атаки.

  • Отраженный вариант атаки.

  • Использование внедрения сценариев.

  • Защита от внедрения сценариев.

  • Подделка HTTP-запросов.

Web 2.0.

  • Концепция Web 2.0 и AJAX.

  • Угрозы, связанные с технологией AJAX.

  • Web-черви.

Логические атаки.

  • Злоупотребление функциональными возможностями.

  • Отказ в обслуживании.

  • Недостаточное противодействие автоматизации.

  • Недостаточная проверка процесса.

  • Функции перенаправления.

  • Расщепление HTTP-запросов и ответов.

Анализ защищенности Web-приложений.

  • Методология анализа защищенности.

  • Специфика Web-приложений.

  • Автоматизированные средства поиска уязвимостей.

  • Сканеры уязвимостей Web-приложений.

Дополнительные механизмы защиты Web-приложений.

  • Межсетевые экраны для Web-приложений (Web Application Firewalls).

  • Возможности и ограничения WAF.

  • Примеры реализации WAF.

  • Использование mod_security для защиты трафика.

Записать на курс

Ваша заявка успешно отправлена!