Основные уязвимости в безопасности веб-приложений

Курс знакомит с десятью наиболее критическими рисками в вэб-приложениях по версии проекта OWASP. На примерах демонстрируются различные способы атаки на приложение, основные ошибки в архитектуре и исходном коде, пути по защите и снижению «серьезности» риска.
Курс: SECR-005
Длительность: 16 ч.

Описание

Курс нацелен на разработчиков, тестировщиков, архитекторов, бизнес-аналитиков и аналитиков по безопасности и является описанием десяти наиболее важных и серьезных уязвимостей в ПО по версии проекта OWASP.В ходе курса описываются теоретические детали каждой уязвимости, демонстрируется каждая из них на реальных примерах (именно то, что видит рядовой пользователь), рассматриваются проблемы и ошибки в исходном коде приложения, описываются пути тестирования и защиты. Каждая уязвимость показывается с точки зрения бизнеса – какой ущерб для компании способна нанести та или иная проблема.

Разбираемые темы

Список 10-ти наиболее серьезных уязвимостей по версии проекта OWASP:
1. Внедрение кода (Injections);
2. Межсайтовый скриптинг (Cross-Site Scripting);
3. Ошибки в механизме аутентификации и управлении сеансами (Broken Authentication and Session Management);
4. Небезопасные прямые ссылки на объекты (Insecure Direct Object References);
5. Подделка межсайтовых запросов (Cross-Site Request Forgery);
6. Небезопасная конфигурация окружения (Security Misconfiguration);
7. Небезопасное хранение важных данных (Insecure Cryptographic Storage);
8. Несанкционированный доступ к ресурсам по URL (Failure to Restrict URL Access);
9. Недостаточная защищенность транспортного протокола (Insufficient Transport Layer Protection);
10. Непроверенные редиректы (Unvalidated Redirects and Forwards).

Цели

Демонстрация основных уязвимостей в веб-приложениях, проблем и ошибок в исходном коде приложения, путей тестирования и нахождения в приложениях.

Целевая аудитория

Разработчики, тестировщики, архитекторы, бизнес-аналитики.

Предварительная подготовка

  • От слушателей необходимы понимание основ веб и начальные знания в разработке и/или тестировании веб-приложений.
  • Базовые знания английского языка.
После окончания курса выдаётся сертификат на бланке Luxoft Training
Тренер в Онлайн
Таранов Николай Специалист в области разработки ПО, .Net
Николай занимается разработкой ПО с 2004 г.: принимал участие в разработке систем дистанционного образования, интернет-магазинов, корпоративных интранет-порталов, социальных сетей, веб-служб как в роли разработчика, так и в роли руководителя.

За время профессиональной деятельности принимал участие в более чем 20 проектах в качестве руководителя команд разработки (от 100 до 5000 человекочасов каждый, руководил командами размером до 10 человек). Имеет опыт руководства распределёнными командами. 

Николай любит, когда в результате работы получается что-то хорошее. Согласен с Эйнштейном, который говорит: «Если ты не можешь объяснить что-то шестилетнему ребенку, то ты сам этого не знаешь». 

В данный момент занимается разработкой с использованием Open Source в стеке React.js/GraphQL/.NET Core/PostgreSQL/Linux. 
  
В прошлом специализировался на стеке Microsoft и имеет около 10 сертификаций по технологиям Microsoft в области веб-разработки.

Профессиональный опыт

2014 – наст. вр. – Luxoft Training, тренер.
2013 – наст. вр. – Добрые роботы, партнёр.
2011–2013 – Рефактор-ИКС, директор департамента разработки портальных решений: управление разработкой (постановка SMART-задач, указания по оптимальному решению задач, обучение, разработка планов профессионального роста и развития), управление проектами в технической части, разработка максимально подходящей для решения задач архитектуры ПО, техническое лидерство в ASP.NET и Sharepoint, разработка на Sharepoint и ASP.NET.
2010–2011 – Профиндустрия-Центр, ведущий разработчик: автоматизация документооборота, разработка интернет-магазина, администрирование.

Образование

2006–2010 – Московский государственный университет им. М.В. Ломоносова, кандидат физ.-мат. наук.
2001–2006 – Московский государственный университет им. М.В. Ломоносова, Факультет вычислительной математики и кибернетики.
-10% ФИЗИЧЕСКИМ ЛИЦАМ
Данный курс запланирован в городах: Онлайн
17.12.2018 - 18.12.2018
Время: 10:00-18:00
Локация: Онлайн
Длительность: 16 ч.
Тренер
Таранов Николай
Специалист в области разработки ПО, .Net

17.12.2018

17.12.2018 - 18.12.2018
Время: 10:00-18:00
Локация: Онлайн
Длительность: 16 ч.
Тренер
Таранов Николай
Специалист в области разработки ПО, .Net
Не подходят даты, время или хотите заказать корпоративное обучение для команды?
+
Предложите свой вариант
Онлайн 21 8001
Отзывы:
Участник тренинга
Очень полезный курс. Узнал много нового про web-безопасность. Подробно, доходчиво, очень интересно, много реальных случаев использования "дырок" в программном коде.
Участник тренинга
Прекрасно подготовленный материал и простота изложения. Очень понравилось.
Участник тренинга
Курс очень интересный, я узнал о возможных уязвимостях на наших сайтах. Были интересные тестовые задания.
Участник тренинга
Тренинг оправдал ожидания. Узнал много нового про основные уязвимости, о способах нахождения уязвимостей через формы регистрации, URL. Полезны и интересны примеры из личного опыта тренера.
Участник тренинга
Все полезно, особенно информация про SQL-injection, CSRF- и XSS- уязвимости. А еще понравилось, что на практике все можно попробовать демо-приложении.
Участник тренинга
Данный тренинг – лучший из тех, что я посещал. Тренер Дмитрий Десятков отлично структурирует материал, в реальном времени готов рассмотреть подробнее какие-либо темы по просьбе аудитории. Позволил на практике проверить полученные знания об уязвимостях веб-приложений.
Участник тренинга
Много полезной информации. Были интересные реальные примеры.
Благодаря тренингу сложилось общее впечатление об организации безопасности в организации. Понравилось детализированное пояснение по всем темам и много практических примеров.

Рекомендуемые дополнительные материалы, источники:

www.owasp.org

Примечание:

Материалы курса представлены на английском языке.

Записаться на курс

Выбрать дату
Если Вам не подходят дата и место проведения тренинга, Вы можете оставить заявку на участие в нем в любом из городов, где представлены филиалы Luxoft Training. Для этого выберите вариант "Открытая дата" и укажите желаемое место проведения курса.
Желаемое место проведения курса
Вы можете оставить заявку на корпоративное обучение сотрудников Вашей компании в любом городе России или Украины, выбрав вариант "Другой город"
Фамилия *

Имя *

Отчество

Контактный E-mail *

Компания *

Телефон *

Город *

Комментарий
По запросу на education@luxoft.com мы ответим на любые дополнительные вопросы касательно обучения в нашем Luxoft Training.
   Подпишись на ежемесячный DigestLT
Успешная форма подписки.
Пользователь только что записался на курс ""
Спасибо!
Форма отправлена успешно.