Безопасность Web-приложений

Безопасность Web-приложений

Код БТ07, 2 дня

Статус

Авторский практический курс Учебного центра “Информзащита”

Аннотация

В курсе «Безопасность Web-приложений» используются современные подходы к построению информационной инфраструктуры бизнеса на основе Web-технологий, рассматриваются уязвимости сетевых приложений и методы их устранения. Курс базируется на концепции глубокоэшелонированной защиты (Defence in depth), и включает методику поэтапной настройки всех компонентов, в том числе, сетевой инфраструктуры, базовых операционных систем, системы управления базами данных (СУБД), и собственно Web-приложения для надежной защиты от распространенных атак, а также для повышения устойчивости к новым атакам.

Особое внимание в курсе «Безопасность Web-приложений» уделяется защите на прикладном уровне, рассматриваются распространенные ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы устранения.

Анализируются методики и инструментарий, необходимые для проведения работ по оценке защищенности Web-приложений других разработчиков. В качестве критериев для проведения аудита используются общепринятые классификации Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification.

Половина учебного времени отведена практическим работам и демонстрациям. В ходе выполнения практических работ слушатели получают навыки поиска и устранения уязвимостей в Web-приложениях. Практические работы проводятся на базе систем, представляющих собой типовые Web-приложения, содержащие распространенные уязвимости, в том числе, обнаруженные специалистами Учебного центра «Информзащита» в процессе аудита безопасности Web-сайтов и клиентских приложений.

Аудитория

• Системные и сетевые администраторы, ответственные за безопасность Web-приложений.
• Администраторы информационной безопасности.
• Эксперты и аналитики по вопросам компьютерной безопасности, ответственные за анализ состояния информационной безопасности, определение требований к защищенности сетевых ресурсов.
• Разработчики Web-приложений.

Предварительная подготовка

• Хорошее знание IP-сетей.
• Знание основ Web-технологий (HTTP, HTML, js, SQL).
• Навыки работы с ОС Windows, Linux.

В результате обучения

Вы приобретете знания:

• о применении концепции Defence in depth к защите Web-приложений;
• основных уязвимостей и атак на Web-приложения;
• методов защиты Web-приложений;
• классификаций уязвимостей Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification;
• принципов построения эффективных систем аутентификации и разграничения доступа к Web-ресурсам;
• методов поиска уязвимостей в Web-приложениях.

Вы сможете:

• использовать средства аудита безопасности Web-приложений (Zed Attack Proxy, Burp Suite);
• выявлять уязвимости с использованием различных средств анализа защищенности, в т.ч. OWASP Zed Attack Proxy (ZAP), Burp Suite, Nikto/Wikto, XSpider и др.;
• настраивать системы безопасности компонентов Web-приложения (ОС, СУБД, Web-сервера);
• конфигурировать специализированные средства защиты Web-приложений, такие как Web Application Firewall.

Пакет слушателя

Фирменное учебное пособие.

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра "Информзащита".

Обучение на данном курсе учитывается при получении в Учебном центре «Информзащита» документов установленного образца об обучении по дополнительным профессиональным программам в области информационной безопасности.

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Программа курса

• Проблемы и основные понятия безопасности Web-технологий. Основные понятия безопасности Web-технологий. Уровни информационной инфраструктуры. Концепция глубокоэшелонированной защиты. Основные источники уязвимостей. Методы оценки уязвимостей системы. Источники информации об уязвимостях.
• Многоуровневая защита web-приложения. Защита уровня сетевого взаимодействия. Защита уровня серверной операционной системы.
• Защита уровня СУБД.
• Базовые сведения о Web-технологиях. Протоколы и технологии Web. Протокол HTTP. Основные стандарты. Заголовки протокола. Методы передачи данных. Основные утилиты, используемые в курсе.
• Уязвимости и атаки на Web-приложения. Причины возникновения уязвимостей. Атаки на Web-приложения. Список OWASP TOP 10. Классификация угроз Web Application Security Consortium.
• Разглашение информации. Индексирование директорий. Идентификация приложений. Утечка информации. Обратный путь в директориях. Предсказуемое расположение ресурсов. Методы защиты. Защита критичных данных приложения.
• Аутентификация. Методы аутентификации в Web-приложениях. Уязвимости аутентификации. Подбор. Недостаточная аутентификация. Небезопасное восстановление паролей.
• Авторизация и идентификация сессии. Уязвимости реализации авторизации. Предсказуемое значение идентификатора сессии. Недостаточная авторизация. Отсутствие таймаута сессии. Фиксация сессии. Некорректные разрешения.
• Уязвимости, приводящие к выполнению кода. Переполнение буфера. Атака на функции форматирования строк. Внедрение операторов LDAP. Выполнение команд операционной системы. Внедрение операторов SQL. Внедрение SQL кода вслепую. Внедрение серверных расширений. Внедрение XML. Внедрение почтовых команд.
• Безопасность клиентских приложений. Подмена содержимого. Межсайтовое выполнение сценариев. Сохраненный вариант атаки. Отраженный вариант атаки. Использование внедрения сценариев. Защита от внедрения сценариев. Подделка HTTP-запросов.
• Логические атаки. Злоупотребление функциональными возможностями. Отказ в обслуживании. Недостаточное противодействие автоматизации. Недостаточная проверка процесса. Функции перенаправления. Расщепление HTTP-запросов и ответов.
• Анализ защищенности Web-приложений. Методология анализа защищенности. Специфика Web-приложений. Автоматизированные средства поиска уязвимостей. Сканеры уязвимостей Web-приложений.
• Дополнительные механизмы защиты Web-приложений. Межсетевые экраны для Web-приложений (Web Application Firewalls). Возможности и ограничения WAF. Примеры реализации WAF.

Зачет