Основные уязвимости в безопасности WEB приложений

Курс знакомит слушателей с наиболее популярными современными уязвимостями веб-приложений из списка OWASP Top-10 2017, способами их идентификации статически и динамически, а также надежными методами устранения уязвимостей. Все изучаемые теоретические знания подкрепляются значительным количеством практических заданий.

24 ак.ч.

Онлайн

SECR-010

Основные уязвимости в безопасности WEB приложений

Записаться на курс

Длительность

24 ак.ч.

Локация

Онлайн

Код

SECR-010

Расписание и цены

34 900 руб.

* Для физических лиц действует скидка 10% Закажите корпоративное обучение с учетом ваших потребностей

Основные уязвимости в безопасности WEB приложений

Записаться на курс

Длительность

24 ак.ч.

Локация

Онлайн

Код

SECR-010

Расписание и цены

34 900 руб.

* Для физических лиц действует скидка 10% Закажите корпоративное обучение с учетом ваших потребностей

Описание

Курс разработан специалистами-практиками с более чем восьмилетним опытом работы в Application Security. Знания, передаваемые участникам курса, многократно проверены на «боевых» проектах и являются основой безопасной разработки приложений.

Основу курса составляют детальное описание и практические задания по наиболее популярными современными уязвимостями OWASP Top-10 2017. Участники изучат способы их идентификации статически (включая SAST) и динамически (включая DAST), а также надежными методами устранения уязвимостей.

Слушателям будут представлены примеры кода, содержащего уязвимости, на нескольких языках программирования. Также будут предложены «живые» приложения, которые позволят понять принципы работы уязвимостей и научиться самостоятельно их находить.

Курс содержит значительное количество практических заданий, а также выходное тестирование для проверки усвоенных знаний.

После прохождения курса выдается
удостоверение о повышении квалификации государственного образца

Цели

После обучения участник сможет избегать уязвимости OWASP Top-10 при разработке веб-приложений и находить их статическими и динамическими методами в уже написанном коде/конфигурации.

Целевая аудитория

Middle+ Developers, Middle+ QA, Junior специалисты по безопасности и архитекторы веб-приложений.

Предварительная подготовка

Участники курса должны уметь работать с веб-браузером, читать и писать код современных веб-приложений и понимать их основные принципы работы: HTTP, Cookies, Proxies.

Разбираемые темы

1. Что такое Application Security, зачем и как это делать (0,5 ч.)
2. Обзор OWASP TOP 10 (0,5 ч.)
3. A1:2017-Injection (1 ч.)
4. Практические задания по A1:2017-Injection (2 ч.)
5. A2:2017-Broken Authentication (1 ч.)
6. Практические задания по A2:2017-Broken Authentication (1 ч.)
7. A3:2017-Sensitive Data Exposure (1 ч.)
8. Практические задания по A3:2017-Sensitive Data Exposure (1 ч.)
9. A4:2017-XML External Entities (XXE) (1 ч.)
10. Практические задания по A4:2017-XML External Entities (XXE) (1 ч.)
11. A5:2017-Broken Access Control (1 ч.)
12. Практические задания по A5:2017-Broken Access Control (1 ч.)
13. A6:2017-Security Misconfiguration (0,5 ч.)
14. Практические задания по A6:2017-Security Misconfiguration (1 ч.)
15. A7:2017-Cross-Site Scripting (XSS) (2 ч.)
16. Практические задания по A7:2017-Cross-Site Scripting (XSS) (2 ч.)
17. A8:2017-Insecure Deserialization (1 ч.)
18. Практические задания по A8:2017-Insecure Deserialization (1 ч.)
19. A9:2017-Using Components with Known Vulnerabilities (0,5 ч.)
20. Практические задания по A9:2017-Using Components with Known Vulnerabilities (0,5 ч.)
21. A10:2017-Insufficient Logging&Monitoring (0,5 ч.)
22. Практические задания по A10:2017-Insufficient Logging&Monitoring (0,5 ч.)
23. A8:2013-Cross-Site Request Forgery (CSRF) (0,5 ч.)
24. Практические задания по Top 10 2013-A8-Cross-Site Request Forgery (CSRF) (1 ч.)
25. Выходное тестирование (1 ч.)

Развернуть программу

Регистрируйтесь на следующий курс

Предварительная регистрация гарантирует участие в обучении. Мы обязательно оповестим вас, когда курс будет запланирован

Экспертность

Тренеры-эксперты из реальных проектов крупнейших компаний, лидеров в своей отрасли

Живое обучение

“Живая” коммуникация с тренером даже в онлайн-формате

Практика

Максимально наполненные практикой занятия, работа в группах, выполнение домашних заданий

Описание

Цели

Целевая аудитория

Предварительная подготовка

Разбираемые темы

1. Что такое Application Security, зачем и как это делать (0,5 ч.)

2. Обзор OWASP TOP 10 (0,5 ч.)

3. A1:2017-Injection (1 ч.)

4. Практические задания по A1:2017-Injection (2 ч.)

5. A2:2017-Broken Authentication (1 ч.)

6. Практические задания по A2:2017-Broken Authentication (1 ч.)

7. A3:2017-Sensitive Data Exposure (1 ч.)

8. Практические задания по A3:2017-Sensitive Data Exposure (1 ч.)

9. A4:2017-XML External Entities (XXE) (1 ч.)

10. Практические задания по A4:2017-XML External Entities (XXE) (1 ч.)

11. A5:2017-Broken Access Control (1 ч.)

12. Практические задания по A5:2017-Broken Access Control (1 ч.)

13. A6:2017-Security Misconfiguration (0,5 ч.)

14. Практические задания по A6:2017-Security Misconfiguration (1 ч.)

15. A7:2017-Cross-Site Scripting (XSS) (2 ч.)

16. Практические задания по A7:2017-Cross-Site Scripting (XSS) (2 ч.)

17. A8:2017-Insecure Deserialization (1 ч.)

18. Практические задания по A8:2017-Insecure Deserialization (1 ч.)

19. A9:2017-Using Components with Known Vulnerabilities (0,5 ч.)

20. Практические задания по A9:2017-Using Components with Known Vulnerabilities (0,5 ч.)

21. A10:2017-Insufficient Logging&Monitoring (0,5 ч.)

22. Практические задания по A10:2017-Insufficient Logging&Monitoring (0,5 ч.)

23. A8:2013-Cross-Site Request Forgery (CSRF) (0,5 ч.)

24. Практические задания по Top 10 2013-A8-Cross-Site Request Forgery (CSRF) (1 ч.)

25. Выходное тестирование (1 ч.)