Курс: Безопасность Web-приложений

Продолжительность курса: 16 ак. ч.

Описание курса:
В курсе используются современные подходы к построению информационной инфраструктуры бизнеса на основе Web-технологий, рассматриваются уязвимости сетевых приложений и методы их устранения. Курс базируется на концепции глубокоэшелонированной защиты (Defence in depth), и включает методику поэтапной настройки всех компонентов, в том числе, сетевой инфраструктуры, базовых операционных систем, системы управления базами данных (СУБД), и собственно Web-приложения для надежной защиты от распространенных атак, а также для повышения устойчивости к новым атакам.

Необходимая подготовка:
• Хорошее знание IP-сетей.
• Знание основ Web-технологий (HTTP, HTML, ASP, JSP, SQL).
• Навыки работы с ОС Windows 2000/XP/2003, Linux.

Результат обучения:
После изучения курса слушатель будет уметь:
• использовать средства аудита безопасности Web-приложений (Sleuth, WebScarab, Achilles, Odysseus, Paros);
• выявлять уязвимости с использованием различных средств анализа защищенности, в т.ч. Nikto, XSpider, MaxPatrol;
• настраивать системы безопасности компонентов Web-приложения (ОС, СУБД, Web-сервера);
• конфигурировать специализированные средства защиты Web-приложений, такие как Web Application Firewall.

Программа курса:

Модуль 1. Проблемы и основные понятия безопасности Web-технологий. Основные понятия безопасности Web-технологий. Уровни информационной инфраструктуры. Концепция глубокоэшелонированной защиты. Основные источники уязвимостей. Методы оценки уязвимостей системы. Источники информации об уязвимостях.

Модуль 2. Многоуровневая защита web-приложения. Защита уровня сетевого взаимодействия. Защита уровня серверной операционной системы.

Модуль 3. Защита уровня СУБД.

Модуль 4. Базовые сведения о Web-технологиях. Протоколы и технологии Web. Протокол HTTP. Основные стандарты. Заголовки протокола. Методы передачи данных. Основные утилиты, используемые в курсе.

Модуль 5. Уязвимости и атаки на Web-приложения. Причины возникновения уязвимостей. Атаки на Web-приложения. Список OWASP TOP 10. Классификация угроз Web Application Security Consortium.

Модуль 6. Разглашение информации. Индексирование директорий. Идентификация приложений. Утечка информации. Обратный путь в директориях. Предсказуемое расположение ресурсов. Методы защиты. Защита критичных данных приложения.

Модуль 7. Аутентификация. Методы аутентификации в Web-приложениях. Уязвимости аутентификации. Подбор. Недостаточная аутентификация. Небезопасное восстановление паролей.

Модуль 8. Авторизация и идентификация сессии. Уязвимости реализации авторизации. Предсказуемое значение идентификатора сессии. Недостаточная авторизация. Отсутствие таймаута сессии. Фиксация сессии. Некорректные разрешения.

Модуль 9. Уязвимости, приводящие к выполнению кода. Переполнение буфера. Атака на функции форматирования строк. Внедрение операторов LDAP. Выполнение команд операционной системы. Внедрение операторов SQL. Внедрение SQL кода вслепую. Внедрение серверных расширений. Внедрение XML. Внедрение почтовых команд.

Модуль 10. Безопасность клиентских приложений. Подмена содержимого. Межсайтовое выполнение сценариев. Сохраненный вариант атаки. Отраженный вариант атаки. Использование внедрения сценариев. Защита от внедрения сценариев. Подделка HTTP-запросов.

Модуль 11. Web 2.0. Концепция Web 2.0 и AJAX. Угрозы, связанные с технологией AJAX. Web-черви.

Модуль 12. Логические атаки. Злоупотребление функциональными возможностями. Отказ в обслуживании. Недостаточное противодействие автоматизации. Недостаточная проверка процесса. Функции перенаправления. Расщепление HTTP-запросов и ответов.

Модуль 13. Анализ защищенности Web-приложений. Методология анализа защищенности. Специфика Web-приложений. Автоматизированные средства поиска уязвимостей. Сканеры уязвимостей Web-приложений.

Модуль 14. Дополнительные механизмы защиты Web-приложений. Межсетевые экраны для Web-приложений (Web Application Firewalls). Возможности и ограничения WAF. Примеры реализации WAF. Использование mod_security для защиты трафика.
Записаться на курс