Фоновый баннер

Атака и защита веб-сайтов по OWASP Top 10

Подробнее о курсе

Краткое описание курса
Цель курса – научить успешно выявлять и устранять проблемы безопасности веб-приложений. Курс посвящен методикам проведения тестирования на проникновение согласно классификации OWASP Top 10.
В курсе представлены подробные материалы по работе веб-серверов и веб-приложений. Детально описаны уязвимости в соответствии с классификацией OWASP Top 10 и техники применения эксплойтов для многочисленных тестов на проникновение. А также предложены рекомендации по укреплению защищённости веб-приложений для каждого вида уязвимости

Целевая аудитория курса

  • Системные администраторы безопасности, инженеры и аудиторы, работающие или предполагающие работать на средних и крупных предприятиях.
  • К основной целевой аудитории данного курса также относятся специалисты в области информационных технологий, включая администраторов предприятий, желающих улучшить свои знания и навыки в области безопасности веб-серверов.
  • Курс будет интересен квалифицированным специалистам, желающим понять принципы и техники взлома веб-сайтов и меры по защите веб-сайтов от взлома.

Краткое содержание курса
Модуль 1 —  Проблемы безопасности веб-приложений

  • Что такое OWASP
  • Обзор классификации OWASP Top 10
  • Методологии и решения OWASP
  • Основы безопасности веб-приложений

Модуль 2 — Знакомство с инструментами и методами работы хакеров

  • Источники уязвимостей в программном обеспечении
  • Типичные сценарии выполнения атак
  • Средства и методы выполнения атак
    • Социальная инженерия
    • Межсайтовый скриптинг, подделка межсайтовых запросов
    • Code injections
    • Authorization Bypass , взлом паролей, Brute force, неполное ограничение полномочий, слабая процедура восстановления пароля, прогнозирование сертификата/сессии, неполное ограничение доступа, незавершение сессии, фиксация сессии, разглашение информации
    • Недокументированные возможности
    • DoS-атаки, ботнеты, вредоносное ПО (вирусы, черви трояны, бэкдоры)
    • Прослушивание сессии, снифферы, атака «человек посередине», IP-спуфинг
    • Индексирование директорий, обратный путь в директориях, предсказуемое расположение ресурсов, использование сообщений об ошибках, идентификация приложений
    • Утечка информации
    • Атака повторного воспроизведения
    • Подмена содержимого (Content Spoofing)
    • Расщепление HTTP-запроса (HTTP Response Splitting)

Модуль 3 —  Инструменты и методы защиты

  • Описание, примеры, методы обнаружения, способы защиты
  • Основы криптографии
  • Руководство OWASP DevSecOps

Модуль 4 —  Основные уязвимости веб-приложений по классификации OWASP Top 10 2021

  • A01:2021 — Сломанный контроль доступа
  • A02:2021 — Криптографические сбои
  • A03:2021 — Инъекции
  • A04:2021 — Небезопасный дизайн
  • A05:2021 – Неправильная конфигурация безопасности
  • A06:2021 – Уязвимые и устаревшие компоненты
  • A07:2021 – Ошибки идентификации и аутентификации
  • A08:2021 – Сбои целостности программного обеспечения и данных
  • A09:2021 — Регистрация и мониторинг сбоев системы безопасности
  • A10:2021 –- Подделка запросов на стороне сервера (SSRF)

Отзывы по курсу