Онлайн программа повышения квалификации

Анализ защищенности
веб-приложений

Курс посвящен углубленному изучению безопасности веб-приложений, способов эксплуатации уязвимостей, построению сценариев компрометации веб-приложений и методам их защиты.
Пархомец Павел Петрович
Автор курса
Выпускник 42 кафедры НИЯУ МИФИ.
Специалист в области безопасности мобильных и веб-приложений, обладатель сертификатов OSCP, eWPT, eMAPT, eWPTX
Какие инструменты освоит слушатель
Burp Suite
Платформа для выполнения тестирования по безопасности веб-приложений.
Sqlmap
Инструмент для тестирования на проникновение, который автоматизирует процесс выявления и эксплуатации уязвимости SQL-inj
Ysoserial
Рабочей концепт инструмента для генерации полезных нагрузок, которые эксплуатируют небезопасные десериализации Java объектов.
Dirsearch
HTTP(S) брутфорсер директорий/файлов.
GitTools
Инструменты для компрометации веб-сайтов с доступным репозиторием .git.
Subdomains finder
Поиск субдоменов
Msfvenom
Создание пэйлоадов
Какие навыки получит слушатель
  • получит комплексные знания о безопасности веб-приложений;
  • поймет источники уязвимостей в тех или иных компонентах приложения;
  • научится эксплуатировать и устранять уязвимости.
Как построены занятия
  • продолжительность каждого занятия – 2 ак. часа (90 минут). 60-70 минут занятия отводится лекционному материалу, 20-30 минут – решению задач и обучению методологии поиска тех или иных уязвимостей;
  • после каждого занятия слушатели получают домашнее задание, состоящее из 10-20 задач по теме занятия;
  • помимо занятий с преподавателем в курсе предусмотрена самостоятельная работа с дополнительными обучающими материалами;
  • в конце курса слушатели сдают экзамен в формате виртуальной лабораторной работы.
ЧЕМ ЭТОТ КУРС ОТЛИЧАЕТСЯ ОТ АНАЛОГИЧНЫХ КУРСОВ НА РЫНКЕ
Курс предназначен для продвинутых специалистов в области IT. Он отличается интенсивностью и глубоким изучением уязвимостей и сценариев компрометации, что позволяет составить полную картину о возможных последствиях эксплуатаций. Помимо этого, курс ориентирован на освоение практических навыков, владение которыми необходимо будет продемонстрировать на экзамене.

Программа курса

16,5 часов занятий, 48 часов на экзамен, 44 часа домашней работы
Вебинар №1. Введение | Бизнес-логика приложений
Знакомство с программой курса, обзор необходимого ПО
OWASP TOP 10 (Краткий обзор)
Уязвимости бизнес-логики
Вебинар №2. Уязвимости клиентской части
  • знакомство с SOP, CORS, Cookie;
  • знакомство с HTML и Javascript;
  • Open Redirect (Причины возникновения и последствия);
  • CSRF (Причины возникновения и последствия);
  • CSTI (Причины возникновения и последствия);
  • решение задач;
  • способы противодействия.
Вебинар №3. Уязвимости клиентской части (2)
  • HTML injection (причины и последствия);
  • Content spoofing (причины и последствия);
  • XSS (причины и последствия);
  • сравнение трех видов атак;
  • решение задач на XSS (кража сессионных идентификаторов);
  • продвинутые сценарии эксплуатации XSS;
  • способы противодействия.
Вебинар №4. Уязвимости серверной части
  • Authentication;
  • Cookie & JWT;
  • Path traversal;
  • Command injection.
Вебинар №5. Уязвимости серверной части (2)
  • знакомство с SQL;
  • SQLi injection (Причины возникновения);
  • виды;
  • обзор возможных последствий;
  • решение задач;
  • способы противодействия.
Вебинар №6. Уязвимости серверной части (3)
  • обзор XML;
  • XXE (причины и последствия);
  • XEE (причины и последствия);
  • HTTP parameter pollution;
  • SSTI;
  • методология поиска и защиты;
  • решение задач.
Вебинар №7. Уязвимости серверной части (4)
  • SSRF;
  • Subdomain takeover;
  • Access control;
  • решение задач;
  • методология поиска и защиты.
Вебинар №8. Уязвимости серверной части (5)
  • OAuth Authentication;
  • HTTP Response Splitting;
  • CRLF Injection;
  • методология поиска и защиты.
Вебинар №9. Уязвимости серверной части (6)
  • небезопасная десериализация PHP;
  • небезопасная десериализация Python;
  • небезопасная десериализация Java;
  • методология поиска и защиты.
Вебинар №10. Анализ защищенности веб-приложений
  • разбор основных этапов;
  • сбор информации о веб-приложении и его компонентов;
  • поиск и эксплуатация уязвимостей;
  • составление отчета.
Вебинар №11. Анализ защищенности веб приложений (2)
  • разбор методологии анализа защищенности OWASP.
Экзамен (2 этапа)
Проведение анализа защищенности приложений - выполнение виртуальной лабораторной работы (поиск и эксплуатация уязвимостей, компрометация веб-приложений).
Написание отчета об анализе защищенности.
Во время экзамена слушателям предоставляется индивидуальный доступ в виртуальную лабораторию с несколькими уязвимыми сервисами.
На каждый этап отводится по 24 часа. После сдачи отчета комиссия выносит вердикт о сдаче (сдано/не сдано).
Подача заявки на курс
Оставьте свои контактные данные
Поделитесь с коллегами!
Расскажите коллегам об этом курсе!