ул. Райымбека, д. 348, оф. 900
(727) 3-909-200, 3-909-220, 3-909-230
ул. Иманбаевой, д. 5а, оф. 301
(7172) 97-43-81, 97-43-77, 97-43-88

Ближайшие курсы

через 46 дней
3 дня (24 академ. часов)
Алматы
Записаться
на подходящую для вас дату

Что включено в курс?

  • Длительность обучения в очном формате составляет 8 академических часов в день (1 академический час равен 45 минутам); учебные курсы состоят из теоретических лекций и практических занятий, проводимых под руководством инструктора, а также самостоятельных работ слушателей.
  • Каждый слушатель обеспечивается индивидуальным рабочим местом, оборудованным персональным компьютером; характеристики компьютеров соответствуют определённому в теме курса программному обеспечению и требованиям к данному курсу.
  • Классы оснащены мультимедийной аппаратурой (проектор и экран), маркерной доской (черной или белой).
  • В учебных классах обеспечивается доступ в интернет.
  • Занятия проводят сертифицированные инструкторы, имеющие высокую квалификацию и большой опыт преподавания.
  • Каждому слушателю выдается в постоянное пользование пакет, содержащий: учебно-методическое пособие, дополнительные раздаточные материалы, инструкции, презентации, канцелярские принадлежности. Количество пакетов соответствует количеству слушателей курса.
  • Во время перерывов слушатели обеспечены трехразовым питанием: полноценный горячий обед в ресторане или кафе и два кофе-брейка.
  • По окончании курса каждому слушателю выдаются сертификаты установленного образца, предварительно согласованные с заказчиком.

[ИБ201]
Информационная безопасность Web-приложений

Продолжительность курса: 3 дня (24 академ. часов)

Аудитория:

Администраторы и специалисты по безопасности.

Программа мероприятия:

1. Проблемы безопасности Web-технологий.
  • Основные понятия безопасности Web-технологий. 
  • Уровни информационной инфраструктуры. 
  • Концепция глубокоэшелонированной защиты. 
  • Основные источники уязвимостей. 
  • Методы оценки уязвимостей системы. 
  • Источники информации об уязвимостях.
2. Многоуровневая защита web-приложения. 
  • Защита уровня сетевого взаимодействия. 
  • Защита уровня серверной операционной системы.
3. Защита уровня СУБД. 
4. Базовые сведения о Web-технологиях. 
  • Протоколы и технологии Web. 
  • Протокол HTTP. Основные стандарты. 
  • Заголовки протокола. 
  • Методы передачи данных. 
  • Основные утилиты, используемые в курсе.
5. Уязвимости и атаки на Web-приложения. 
  • Причины возникновения уязвимостей. 
  • Атаки на Web-приложения. 
  • Список OWASP TOP 10. 
  • Классификация угроз Web Application Security Consortium.
6. Разглашение информации. 
  • Индексирование директорий. 
  • Идентификация приложений. 
  • Утечка информации. 
  • Обратный путь в директориях. 
  • Предсказуемое расположение ресурсов. 
  • Методы защиты. Защита критичных данных приложения.
7. Аутентификация. 
  • Методы аутентификации в Web-приложениях. 
  • Уязвимости аутентификации. 
  • Подбор. 
  • Недостаточная аутентификация. 
  • Небезопасное восстановление паролей.
8. Авторизация и идентификация сессии. 
  • Уязвимости реализации авторизации. 
  • Предсказуемое значение идентификатора сессии. 
  • Недостаточная авторизация. 
  • Отсутствие таймаута сессии. 
  • Фиксация сессии. 
  • Некорректные разрешения.
9. Уязвимости, приводящие к выполнению кода. 
  • Переполнение буфера. 
  • Атака на функции форматирования строк. 
  • Внедрение операторов LDAP. 
  • Выполнение команд операционной системы. 
  • Внедрение операторов SQL. 
  • Внедрение SQL кода вслепую. 
  • Внедрение серверных расширений. 
  • Внедрение XML. 
  • Внедрение почтовых команд.
10. Безопасность клиентских приложений. 
  • Подмена содержимого. 
  • Межсайтовое выполнение сценариев. 
  • Сохраненный вариант атаки. 
  • Отраженный вариант атаки. 
  • Использование внедрения сценариев. 
  • Защита от внедрения сценариев. 
  • Подделка HTTP-запросов.
11. Web 2.0. 
  • Концепция Web 2.0 и AJAX. 
  • Угрозы, связанные с технологией AJAX. 
  • Web-черви.
12. Логические атаки. 
  • Злоупотребление функциональными возможностями. 
  • Отказ в обслуживании. 
  • Недостаточное противодействие автоматизации. 
  • Недостаточная проверка процесса. 
  • Функции перенаправления. 
  • Расщепление HTTP-запросов и ответов.
13. Анализ защищенности Web-приложений. 
  • Методология анализа защищенности. 
  • Специфика Web-приложений. 
  • Автоматизированные средства поиска уязвимостей. 
  • Сканеры уязвимостей Web-приложений.
14. Дополнительные механизмы защиты Web-приложений. 
  • Межсетевые экраны для Web-приложений (Web Application Firewalls). 
  • Возможности и ограничения WAF. 
  • Примеры реализации WAF. 
  • Использование mod_security для защиты трафика.

Другие курсы

БКС БКС. Безопасность компьютерных сетей  
ИБ200 Обеспечение безопасности облачных вычислений  
ИБ201 Информационная безопасность Web-приложений 1 октября
ИБ202 NEW!!! Управление рисками информационной безопасности. ИСО 27005. 3 сентября
ИБ203 Аудит информационной безопасности. ИСО 27001 6 сентября
ИБ204 NEW!!! Тестирование на проникновение хакера и анализ безопасности  
ИБ205 NEW!!! Расследование хакерских инцидентов 22 октября
ИБ206 Периметровая защита 8 октября
ИБ207 Защита инфраструктуры сетей 15 октября
ИБ208 Предотвращение и расследование киберпреступлений 20 августа
ИБ300 Cистема управления информационной безопасностью. СТ РК ISO/IEC 27001-2015. Подготовка к аттестации ИС.  
ИБ300(1) NEW!!! Cистема управления информационной безопасностью. СТ РК ISO/IEC 27001-2015. Подготовка к испытаниям ИС на соответствие требованиям ИБ  
ИБ301 Система управления информационной безопасностью. ИСО/МЭК 27001. 3 сентября
ИБ302 Система управления рисками. ИСО 31000  
ИБ303 Система управления непрерывностью бизнеса. ИСО 22301. 6 сентября, 27 августа
ИБ304 NEW! Система Управления Антикоррупционными мероприятиями. ИСО 37001 3 сентября
ИБ305 NEW!!! Управление инцидентами информационной безопасности. ИСО/МЭК 27035. 3 сентября
ИБ306 NEW!!! Организация конфиденциального делопроизводства 13 сентября
ИБ307 NEW!!! Руководитель службы информационной безопасности и защиты от хакерских атак 24 сентября
ИБ308 NEW!!! Кибербезопасность, стандарт ISO/IEC 27032:2012. Реализация концепции кибербезопасности в Казахстане  
ИБ309 NEW!!! Кибербезопасность, международный стандарт ISO/IEC 27032:2012 Информационные технологии. Методы обеспечения безопасности. Наставления по кибербезопасности 22 августа
ИБ310 NEW!!! Вопросы Кибербезопасности. План мероприятий по реализации Концепции кибербезопасности ("Киберщит Казахстана") до 2022 года 27 августа
РКИ Расследование компьютерных инцидентов