ГлавнаяНовостиСтатьиКаталогВендорыСтандартыОбучениеКонтакты  +7 (495) 231-4831    © 


КаталогОбучение и сертификация специалистовПодразделОписание
Учебный центр "Информзащита" -> Анализ и оценка защищенности Web-приложений

Анализ и оценка защищенности Web-приложений

Код БТ07, 2 дня

Статус

Авторский курс Учебного центра "Информзащита"

Аннотация

В курсе используются современные подходы к построению информационной инфраструктуры бизнеса на основе Web-технологий, рассматриваются уязвимости сетевых приложений и методы их устранения. Курс базируется на концепции глубокоэшелонированной защиты (Defence in depth), и включает методику поэтапной настройки всех компонентов, в том числе, сетевой инфраструктуры, базовых операционных систем, СУБД, и собственно Web-приложения для надежной защиты от распространенных атак, а также для повышения устойчивости к новым атакам.

Особое внимание в курсе уделяется защите на прикладном уровне, рассматриваются распространенные ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы устранения.

Анализируются методики и инструментарий, необходимые для проведения работ по оценке защищенности Web-приложений других разработчиков. В качестве критериев для проведения аудита используются общепринятые классификации Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification.

Половина учебного времени отведена практическим работам и демонстрациям. В ходе выполнения практических работ слушатели получают навыки поиска и устранения уязвимостей в Web-приложениях. Практические работы проводятся на базе систем, представляющих собой типовые Web-приложения, содержащие распространенные уязвимости, в том числе, обнаруженные специалистами Учебного центра "Информзащита" в процессе аудита безопасности Web-сайтов и клиентских приложений.

Аудитория

  • Системные и сетевые администраторы, ответственные за безопасность Web-приложений
  • Администраторы информационной безопасности
  • Эксперты и аналитики по вопросам компьютерной безопасности, ответственные за анализ состояния информационной безопасности, определение требований к защищенности сетевых ресурсов
  • Разработчики Web-приложений

Предварительная подготовка

  • Хорошее знание IP-сетей
  • Знание основ Web-технологий (HTTP, HTML, ASP, JSP, SQL)
  • Навыки работы с ОС Windows 2000/XP/2003

По окончании обучения

Вы приобретете знания:

  • по применению концепции Defence in Depth к защите Web-приложений
  • по основным уязвимостям и атакам на Web-приложения и методам защиты
  • по классификациям уязвимостей Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification
  • о принципах построения эффективных систем аутентификации и разграничения доступа к Web-ресурсам
  • о методах поиска уязвимостей в Web-приложениях

Вы сможете:

  • использовать средства аудита безопасности Web-приложений (Sleuth, WebScarab, Achilles, Odysseus, Paros)
  • выявлять уязвимости с использованием различных средств анализа защищённости, в т.ч. Nikto, XSpider
  • настраивать системы безопасности компонентов Web-приложения (ОС, СУБД, Web-сервера)

Пакет слушателя

Фирменное учебное пособие

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра "Информзащита".

Обучение на данном курсе учитывается при получении специалистами государственных документов в области информационной безопасности в Учебном центре "Информзащита" в соответствии с ПОЛОЖЕНИЕМ об условиях получения специалистами государственных документов о повышении квалификации в области защиты информации.

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Программа курса

  • Проблемы и основные понятия безопасности Web-технологий.
    Основные понятия безопасности Web-технологий. Уровни информационной инфраструктуры. Концепция глубокоэшелонированной защиты. Основные источники уязвимостей. Методы оценки уязвимостей системы. Источники информации об уязвимостях.
  • Защита уровня сетевого взаимодействия.
    Уязвимости и атаки уровня сетевого взаимодействия. Защита сетевого взаимодействия ОС Windows. Защита сетевого взаимодействия MS SQL Server. Защита сетевого взаимодействия Internet Information Server. Дополнительные средства обеспечения безопасности на сетевом уровне.
  • Защита уровня серверной операционной системы.
    Уязвимости операционных систем. Настройка механизмов аутентификации и разграничения доступа операционной системы. Защита компонентов ОС, связанных с MS SQL Server. Защита компонентов ОС, связанных с IIS.
  • Защита уровня СУБД.
    Разграничение доступа к ресурсам MS SQL Server 2000. Настройка безопасности компонентов SQL Server 2000. Аудит корректности разрешений на объекты СУБД.
  • Базовые сведения о Web-технологиях.
    Протоколы и технологии Web. Протокол HTTP. Основные стандарты. Заголовки протокола. Методы передачи данных. Основные утилиты, используемые в курсе.
  • Уязвимости и атаки на Web-приложения.
    Источники возникновения уязвимостей. Атаки на Web-приложения. Список OWASP TOP 10. Классификация угроз Web Application Security Consortium.
  • Разглашение информации.
    Индексирование директорий. Идентификация приложений. Утечка информации. Обратный путь в директориях. Предсказуемое расположение ресурсов. Методы защиты. Защита критичных данных приложения.
  • Аутентификация.
    Методы аутентификации в Web-приложениях. Уязвимости аутентификации. Подбор. Недостаточная аутентификация. Небезопасное восстановление паролей.
  • Авторизация и идентификация сессии.
    Уязвимости реализации авторизации. Предсказуемое значение идентификатора сессии. Недостаточная авторизация. Отсутствие таймаута сессии. Фиксация сессии.
  • Уязвимости, приводящие к выполнению кода.
    Переполнение буфера. Атака на функции форматирования строк. Внедрение операторов LDAP. Выполнение команд операционной системы. Внедрение операторов SQL. Внедрение SQL кода вслепую. Внедрение серверных расширений. Внедрение операторов XPath.
  • Безопасность клиентских приложений.
    Подмена содержимого. Межсайтовое выполнение сценариев. Сохраненный вариант атаки. Отраженный вариант атаки. Использование внедрения сценариев. Защита от внедрения сценариев. Расщепление HTTP-запроса.
  • Логические атаки.
    Злоупотребление функциональными возможностями. Отказ в обслуживании. Недостаточное противодействие автоматизации. Недостаточная проверка процесса.
  • Анализ защищенности Web-приложений.
    Методология анализа защищённости. Специфика Web-приложений. Автоматизированные средства поиска уязвимостей. Сканеры уязвимостей Web-приложений.
  • Итоговые рекомендации по обеспечению безопасности
    Web-приложений
    .




Рейтинг @Mail.ru

Rambler's Top100
Rambler's Top100