Безопасность Web-приложений (BT07)

Описание курса Даты и регистрация Программа курса
 

Кому следует посетить

  • Системные и сетевые администраторы, ответственные за безопасность Web-приложений.
  • Администраторы информационной безопасности.
  • Эксперты и аналитики по вопросам компьютерной безопасности, ответственные за анализ состояния информационной безопасности, определение требований к защищенности сетевых ресурсов.
  • Разработчики Web-приложений.

Предварительные требования

  • Хорошее знание IP-сетей.
  • Знание основ Web-технологий (HTTP, HTML, ASP, JSP, SQL).
  • Навыки работы с ОС Windows 2000/XP/2003, Linux.

Цели курса

В результате обучения Вы приобретете знания:

  • о применении концепции Defence in depth к защите Web-приложений;
  • основных уязвимостей и атак на Web-приложения;
  • методов защиты Web-приложений;
  • классификаций уязвимостей Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification;
  • принципов построения эффективных систем аутентификации и разграничения доступа к Web-ресурсам;
  • методов поиска уязвимостей в Web-приложениях.

Вы сможете:

  • использовать средства аудита безопасности Web-приложений (Sleuth, WebScarab, Achilles, Odysseus, Paros);
  • выявлять уязвимости с использованием различных средств анализа защищенности, в т.ч. Nikto, XSpider, MaxPatrol;
  • настраивать системы безопасности компонентов Web-приложения (ОС, СУБД, Web-сервера);
  • конфигурировать специализированные средства защиты Web-приложений, такие как Web Application Firewall.

Содержание курса

В курсе используются современные подходы к построению информационной инфраструктуры бизнеса на основе Web-технологий, рассматриваются уязвимости сетевых приложений и методы их устранения. Курс базируется на концепции глубокоэшелонированной защиты (Defence in depth), и включает методику поэтапной настройки всех компонентов, в том числе, сетевой инфраструктуры, базовых операционных систем, системы управления базами данных (СУБД), и собственно Web-приложения для надежной защиты от распространенных атак, а также для повышения устойчивости к новым атакам.

Особое внимание в курсе уделяется защите на прикладном уровне, рассматриваются распространенные ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы устранения.

Анализируются методики и инструментарий, необходимые для проведения работ по оценке защищенности Web-приложений других разработчиков. В качестве критериев для проведения аудита используются общепринятые классификации Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification.

Половина учебного времени отведена практическим работам и демонстрациям. В ходе выполнения практических работ слушатели получают навыки поиска и устранения уязвимостей в Web-приложениях. Практические работы проводятся на базе систем, представляющих собой типовые Web-приложения, содержащие распространенные уязвимости, в том числе, обнаруженные специалистами Учебного центра «Информзащита» в процессе аудита безопасности Web-сайтов и клиентских приложений.

Classroom training
Modality: G

Длительность 2 дня

Даты проведения
 
Даты и регистрация

В настоящее время расписание на курс отсутствует  Оставить заявку