Безопасность Web-приложений
-
Ближайшая дата
27.08.2026 - 28.08.2026
-
Форма обучения
Очная
-
Код курса
БТ07
-
Срок обучения
16 ак. ч. (2 дня)
-
Стоимость
37 600 ₽
О курсе
В курсе «Безопасность Web-приложений» используются современные подходы к построению информационной инфраструктуры бизнеса на основе Web-технологий, рассматриваются уязвимости сетевых приложений и методы их устранения. Курс базируется на концепции глубокоэшелонированной защиты (Defence in depth), и включает методику поэтапной настройки всех компонентов, в том числе, сетевой инфраструктуры, базовых операционных систем, системы управления базами данных (СУБД), и собственно Web-приложения для надежной защиты от распространенных атак, а также для повышения устойчивости к новым атакам.
Особое внимание в курсе «Безопасность Web-приложений» уделяется защите на прикладном уровне, рассматриваются распространенные ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы устранения.
Анализируются методики и инструментарий, необходимые для проведения работ по оценке защищенности Web-приложений других разработчиков. В качестве критериев для проведения аудита используются общепринятые классификации Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification.
Половина учебного времени отведена практическим работам и демонстрациям. В ходе выполнения практических работ слушатели получают навыки поиска и устранения уязвимостей в Web-приложениях. Практические работы проводятся на базе систем, представляющих собой типовые Web-приложения, содержащие распространенные уязвимости, в том числе, обнаруженные специалистами Учебного центра «Информзащита» в процессе аудита безопасности Web-сайтов и клиентских приложений.
По итогам обучения
- Вы приобретете знания:о применении концепции Defence in depth к защите Web-приложений;основных уязвимостей и атак на Web-приложения;методов защиты Web-приложений;классификаций уязвимостей Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification;принципов построения эффективных систем аутентификации и разграничения доступа к Web-ресурсам;методов поиска уязвимостей в Web-приложениях;Вы сможете:использовать средства аудита безопасности Web-приложений (Zed Attack Proxy, Burp Suite);выявлять уязвимости с использованием различных средств анализа защищенности, в т.ч. OWASP Zed Attack Proxy (ZAP), Burp Suite, Nikto/Wikto, XSpider и др.;настраивать системы безопасности компонентов Web-приложения (ОС, СУБД, Web-сервера);конфигурировать специализированные средства защиты Web-приложений, такие как Web Application Firewall;
Подтверждение ваших навыков
После успешной сдачи зачета выпускники получают:
- Свидетельство Учебного центра "Информзащита"
Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.
Посмотреть образцы выдаваемых документовПрограмма курса
16 ак. ч. (2 дня)
-
Состав учебных дисциплин Программы:
- Проблемы и основные понятия безопасности Web-технологий. Основные понятия безопасности Web-технологий. Уровни информационной инфраструктуры. Концепция глубокоэшелонированной защиты. Основные источники уязвимостей. Методы оценки уязвимостей системы. Источники информации об уязвимостях.
- Многоуровневая защита web-приложения. Защита уровня сетевого взаимодействия. Защита уровня серверной операционной системы.
- Защита уровня СУБД.
- Базовые сведения о Web-технологиях. Протоколы и технологии Web. Протокол HTTP. Основные стандарты. Заголовки протокола. Методы передачи данных. Основные утилиты, используемые в курсе.
- Уязвимости и атаки на Web-приложения. Причины возникновения уязвимостей. Атаки на Web-приложения. Список OWASP TOP 10. Классификация угроз Web Application Security Consortium.
- Разглашение информации. Индексирование директорий. Идентификация приложений. Утечка информации. Обратный путь в директориях. Предсказуемое расположение ресурсов. Методы защиты. Защита критичных данных приложения.
- Аутентификация. Методы аутентификации в Web-приложениях. Уязвимости аутентификации. Подбор. Недостаточная аутентификация. Небезопасное восстановление паролей.
- Авторизация и идентификация сессии. Уязвимости реализации авторизации. Предсказуемое значение идентификатора сессии. Недостаточная авторизация. Отсутствие таймаута сессии. Фиксация сессии. Некорректные разрешения.
- Уязвимости, приводящие к выполнению кода. Переполнение буфера. Атака на функции форматирования строк. Внедрение операторов LDAP. Выполнение команд операционной системы. Внедрение операторов SQL. Внедрение SQL кода вслепую. Внедрение серверных расширений. Внедрение XML. Внедрение почтовых команд.
- Безопасность клиентских приложений. Подмена содержимого. Межсайтовое выполнение сценариев. Сохраненный вариант атаки. Отраженный вариант атаки. Использование внедрения сценариев. Защита от внедрения сценариев. Подделка HTTP-запросов.
- Логические атаки. Злоупотребление функциональными возможностями. Отказ в обслуживании. Недостаточное противодействие автоматизации. Недостаточная проверка процесса. Функции перенаправления. Расщепление HTTP-запросов и ответов.
- Анализ защищенности Web-приложений. Методология анализа защищенности. Специфика Web-приложений. Автоматизированные средства поиска уязвимостей. Сканеры уязвимостей Web-приложений.
- Дополнительные механизмы защиты Web-приложений. Межсетевые экраны для Web-приложений (Web Application Firewalls). Возможности и ограничения WAF. Примеры реализации WAF.
-
Зачет
Расписание курса «Безопасность Web-приложений» (БТ07)
-
- Форма обучения
- Ближайшая дата
- 27.08.2026 - 28.08.2026
- Срок обучения
- 16 ак. ч. (2 дня)
- Стоимость
- Форма обучения
- Ближайшая дата
- 27.08.2026 - 28.08.2026
- Срок обучения
- 16 ак. ч. (2 дня)
- Стоимость
-
- Форма обучения
- Ближайшая дата
- 10.12.2026 - 11.12.2026
- Срок обучения
- 16 ак. ч. (2 дня)
- Стоимость
- Форма обучения
- Ближайшая дата
- 10.12.2026 - 11.12.2026
- Срок обучения
- 16 ак. ч. (2 дня)
- Стоимость
Записаться на курс
Безопасность Web-приложений (БТ07)
-
Форма обучения
Очная; Онлайн-трансляция
-
Стоимость
37600 ₽
