ул. Райымбека, д. 348, оф. 900
(727) 3-909-200, 3-909-220, 3-909-230
ул. Иманбаевой, д. 5а, оф. 301
(7172) 97-43-81, 97-43-77, 97-43-88

Ближайшие курсы

на подходящую для вас дату

Что включено в курс?

  • Длительность обучения в очном формате составляет 8 академических часов в день (1 академический час равен 45 минутам); учебные курсы состоят из теоретических лекций и практических занятий, проводимых под руководством инструктора, а также самостоятельных работ слушателей.
  • Каждый слушатель обеспечивается индивидуальным рабочим местом, оборудованным персональным компьютером; характеристики компьютеров соответствуют определённому в теме курса программному обеспечению и требованиям к данному курсу.
  • Классы оснащены мультимедийной аппаратурой (проектор и экран), маркерной доской (черной или белой).
  • В учебных классах обеспечивается доступ в интернет.
  • Занятия проводят сертифицированные инструкторы, имеющие высокую квалификацию и большой опыт преподавания.
  • Каждому слушателю выдается в постоянное пользование пакет, содержащий: учебно-методическое пособие, дополнительные раздаточные материалы, инструкции, презентации, канцелярские принадлежности. Количество пакетов соответствует количеству слушателей курса.
  • Во время перерывов слушатели обеспечены трехразовым питанием: полноценный горячий обед в ресторане или кафе и два кофе-брейка.
  • По окончании курса каждому слушателю выдаются сертификаты установленного образца, предварительно согласованные с заказчиком.

[ИБ201]
Информационная безопасность Web-приложений

Продолжительность курса: 3 дня (24 академ. часов)

Аудитория:

Администраторы и специалисты по безопасности.

Программа мероприятия:

1. Проблемы безопасности Web-технологий.
  • Основные понятия безопасности Web-технологий. 
  • Уровни информационной инфраструктуры. 
  • Концепция глубокоэшелонированной защиты. 
  • Основные источники уязвимостей. 
  • Методы оценки уязвимостей системы. 
  • Источники информации об уязвимостях.
2. Многоуровневая защита web-приложения. 
  • Защита уровня сетевого взаимодействия. 
  • Защита уровня серверной операционной системы.
3. Защита уровня СУБД. 
4. Базовые сведения о Web-технологиях. 
  • Протоколы и технологии Web. 
  • Протокол HTTP. Основные стандарты. 
  • Заголовки протокола. 
  • Методы передачи данных. 
  • Основные утилиты, используемые в курсе.
5. Уязвимости и атаки на Web-приложения. 
  • Причины возникновения уязвимостей. 
  • Атаки на Web-приложения. 
  • Список OWASP TOP 10. 
  • Классификация угроз Web Application Security Consortium.
6. Разглашение информации. 
  • Индексирование директорий. 
  • Идентификация приложений. 
  • Утечка информации. 
  • Обратный путь в директориях. 
  • Предсказуемое расположение ресурсов. 
  • Методы защиты. Защита критичных данных приложения.
7. Аутентификация. 
  • Методы аутентификации в Web-приложениях. 
  • Уязвимости аутентификации. 
  • Подбор. 
  • Недостаточная аутентификация. 
  • Небезопасное восстановление паролей.
8. Авторизация и идентификация сессии. 
  • Уязвимости реализации авторизации. 
  • Предсказуемое значение идентификатора сессии. 
  • Недостаточная авторизация. 
  • Отсутствие таймаута сессии. 
  • Фиксация сессии. 
  • Некорректные разрешения.
9. Уязвимости, приводящие к выполнению кода. 
  • Переполнение буфера. 
  • Атака на функции форматирования строк. 
  • Внедрение операторов LDAP. 
  • Выполнение команд операционной системы. 
  • Внедрение операторов SQL. 
  • Внедрение SQL кода вслепую. 
  • Внедрение серверных расширений. 
  • Внедрение XML. 
  • Внедрение почтовых команд.
10. Безопасность клиентских приложений. 
  • Подмена содержимого. 
  • Межсайтовое выполнение сценариев. 
  • Сохраненный вариант атаки. 
  • Отраженный вариант атаки. 
  • Использование внедрения сценариев. 
  • Защита от внедрения сценариев. 
  • Подделка HTTP-запросов.
11. Web 2.0. 
  • Концепция Web 2.0 и AJAX. 
  • Угрозы, связанные с технологией AJAX. 
  • Web-черви.
12. Логические атаки. 
  • Злоупотребление функциональными возможностями. 
  • Отказ в обслуживании. 
  • Недостаточное противодействие автоматизации. 
  • Недостаточная проверка процесса. 
  • Функции перенаправления. 
  • Расщепление HTTP-запросов и ответов.
13. Анализ защищенности Web-приложений. 
  • Методология анализа защищенности. 
  • Специфика Web-приложений. 
  • Автоматизированные средства поиска уязвимостей. 
  • Сканеры уязвимостей Web-приложений.
14. Дополнительные механизмы защиты Web-приложений. 
  • Межсетевые экраны для Web-приложений (Web Application Firewalls). 
  • Возможности и ограничения WAF. 
  • Примеры реализации WAF. 
  • Использование mod_security для защиты трафика.

Другие курсы

БКС БКС. Безопасность компьютерных сетей  
ИБ200 Обеспечение безопасности облачных вычислений  
ИБ201 Информационная безопасность Web-приложений  
ИБ202 NEW!!! Управление рисками информационной безопасности. ИСО 27005. 4 декабря
ИБ203 Аудит информационной безопасности. ИСО 27001  
ИБ204 NEW!!! Тестирование на проникновение хакера и анализ безопасности 12 февраля
ИБ205 NEW!!! Расследование хакерских инцидентов 19 февраля
ИБ206 Периметровая защита  
ИБ207 Защита инфраструктуры сетей 4 декабря
ИБ208 Предотвращение и расследование киберпреступлений  
ИБ300 Cистема управления информационной безопасностью. СТ РК ISO/IEC 27001-2015. Подготовка к аттестации ИС. 11 декабря
ИБ300(1) NEW!!! Cистема управления информационной безопасностью. СТ РК ISO/IEC 27001-2015. Подготовка к испытаниям ИС на соответствие требованиям ИБ  
ИБ301 Система управления информационной безопасностью. ИСО/МЭК 27001. 4 декабря
ИБ302 Система управления рисками. ИСО 31000  
ИБ303 Система управления непрерывностью бизнеса. ИСО 22301.  
ИБ304 NEW! Система Управления Антикоррупционными мероприятиями. ИСО 37001  
ИБ305 NEW!!! Управление инцидентами информационной безопасности. ИСО/МЭК 27035.  
ИБ306 NEW!!! Организация конфиденциального делопроизводства  
РКИ Расследование компьютерных инцидентов