Основные уязвимости в безопасности веб-приложений

Курс знакомит с десятью наиболее критическими рисками в вэб-приложениях по версии проекта OWASP. На примерах демонстрируются различные способы атаки на приложение, основные ошибки в архитектуре и исходном коде, пути по защите и снижению «серьезности» риска.
Курс: SECR-005
Длительность: 24 ч.

Описание

Курс нацелен на разработчиков, тестировщиков, архитекторов, бизнес-аналитиков и аналитиков по безопасности и является описанием десяти наиболее важных и серьезных уязвимостей в ПО по версии проекта OWASP.В ходе курса описываются теоретические детали каждой уязвимости, демонстрируется каждая из них на реальных примерах (именно то, что видит рядовой пользователь), рассматриваются проблемы и ошибки в исходном коде приложения, описываются пути тестирования и защиты. Каждая уязвимость показывается с точки зрения бизнеса – какой ущерб для компании способна нанести та или иная проблема.

Разбираемые темы

Список 10-ти наиболее серьезных уязвимостей по версии проекта OWASP:
1. Внедрение кода (Injections);
2. Межсайтовый скриптинг (Cross-Site Scripting);
3. Ошибки в механизме аутентификации и управлении сеансами (Broken Authentication and Session Management);
4. Небезопасные прямые ссылки на объекты (Insecure Direct Object References);
5. Подделка межсайтовых запросов (Cross-Site Request Forgery);
6. Небезопасная конфигурация окружения (Security Misconfiguration);
7. Небезопасное хранение важных данных (Insecure Cryptographic Storage);
8. Несанкционированный доступ к ресурсам по URL (Failure to Restrict URL Access);
9. Недостаточная защищенность транспортного протокола (Insufficient Transport Layer Protection);
10. Непроверенные редиректы (Unvalidated Redirects and Forwards).

Цели

Демонстрация основных уязвимостей в веб-приложениях, проблем и ошибок в исходном коде приложения, путей тестирования и нахождения в приложениях.

Целевая аудитория

Разработчики, тестировщики, архитекторы, бизнес-аналитики.

Предварительная подготовка

  • От слушателей необходимы понимание основ веб и начальные знания в разработке и/или тестировании веб-приложений.
  • Базовые знания английского языка.
После окончания курса выдаётся сертификат на бланке Luxoft Training
Десятков Дмитрий Специалист в области архитектуры ПО, Application Security
Свою карьеру Дмитрий начинал в 2003 г. с должности разработчика программного обеспечения – разрабатывал приложения для биржи в Informational Systems for Business. 
За время своей профессиональной деятельности работал в компании Lenvendo-Soft, Alcatel-Lucent (разрабатка приложения для IPTV), в 2007–2009 гг. разрабатывал приложения для европейской телекоммуникационной компании.

Сейчас основная деятельность Дмитрия связана с безопасностью приложений и интеграцией безопасности в жизненный цикл разработки ПО. В этой области Дмитрий начал свою работу в 2009–2011 гг. в Exigen Services в качестве аналитика по безопасности, где также проводил аудит по безопасности, анализ исходного кода приложений.

В Luxoft Дмитрий работает с 2011 г. – руководит командой Application Security, является ведущим аналитиком по безопасности, проводит аудит по безопасности для крупнейшей телекоммуникационной компании в Великобритании. 
-10% ФИЗИЧЕСКИМ ЛИЦАМ
Данный курс запланирован в городах: Санкт-Петербург
15.03.2018 - 16.03.2018
Время: 10:00-18:00
Локация: Санкт-Петербург
Длительность: 16 ч.
Тренер
Десятков Дмитрий
Специалист в области архитектуры ПО, Application Security

15.03.2018

Не подходят даты, время или хотите заказать корпоративное обучение для команды?
+
Предложите свой вариант
Не подходят даты, время или хотите заказать корпоративное обучение для команды?
+
Предложите свой вариант
Москва 31 200 1
Санкт-Петербург 28 080 1
Омск 23 400 1
Киев 7 200 грн.
Одесса 6 500 грн.
Днепр 6 500 грн.
Отзывы:
Участник тренинга
Курс очень интересный, я узнал о возможных уязвимостях на наших сайтах. Были интересные тестовые задания.
Участник тренинга
Очень полезный курс. Узнал много нового про web-безопасность. Подробно, доходчиво, очень интересно, много реальных случаев использования "дырок" в программном коде.
Участник тренинга
Все полезно, особенно информация про SQL-injection, CSRF- и XSS- уязвимости. А еще понравилось, что на практике все можно попробовать демо-приложении.
Участник тренинга
Много полезной информации. Были интересные реальные примеры.
Благодаря тренингу сложилось общее впечатление об организации безопасности в организации. Понравилось детализированное пояснение по всем темам и много практических примеров.
Участник тренинга
Данный тренинг – лучший из тех, что я посещал. Тренер Дмитрий Десятков отлично структурирует материал, в реальном времени готов рассмотреть подробнее какие-либо темы по просьбе аудитории. Позволил на практике проверить полученные знания об уязвимостях веб-приложений.
Участник тренинга
Прекрасно подготовленный материал и простота изложения. Очень понравилось.
Участник тренинга
Тренинг оправдал ожидания. Узнал много нового про основные уязвимости, о способах нахождения уязвимостей через формы регистрации, URL. Полезны и интересны примеры из личного опыта тренера.

Рекомендуемые дополнительные материалы, источники:

www.owasp.org

Примечание:

Материалы курса представлены на английском языке.

Записаться на курс

Выбрать дату
Если Вам не подходят дата и место проведения тренинга, Вы можете оставить заявку на участие в нем в любом из городов, где представлены филиалы Luxoft Training. Для этого выберите вариант "Открытая дата" и укажите желаемое место проведения курса.
Желаемое место проведения курса
Вы можете оставить заявку на корпоротивное обучение сотрудников Вашей компании в любом городе России или Украины, выбрав вариант "Другой город"
Фамилия *

Имя *

Отчество

Контактный E-mail *

Компания *

Телефон *

Город *

Комментарий
По запросу на education@luxoft.com мы ответим на любые дополнительные вопросы касательно обучения в нашем Luxoft Training.
   Подпишись на ежемесячный DigestLT
Успешная форма подписки.
Спасибо!
Форма отправлена успешно.