Основные уязвимости в безопасности WEB приложений

Курс знакомит слушателей с наиболее популярными современными уязвимостями веб-приложений из списка OWASP Top-10 2017, способами их идентификации статически и динамически, а также надежными методами устранения уязвимостей. Все изучаемые теоретические знания подкрепляются значительным количеством практических заданий.
Курс: SECR-010 new
Длительность: 24 ч.

Описание

Основу курса составляют детальное описание и практические задания по наиболее популярными современными уязвимостями OWASP Top-10 2017. Участники курса изучат способы их идентификации статически (включая SAST) и динамически (включая DAST), а также надежными методами устранения уязвимостей.

Слушателям будут представлены примеры кода, содержащего уязвимости, на нескольких языках программирования (Java, PHP, .NET, Python, JS). Также будут предложны «живые» приложения, которые позволят понять принципы работы уязвимостей и научиться самостоятельно их находить.

Курс разработан и проводится специалистами-практиками с опытом работы в Application Security более 8 лет. Знания, передаваемые участникам курса многократно проверены на «боевых» проектах и являются основой безопасной разработки приложений.

Разбираемые темы

  • Что такое Application Security, зачем и как это делать (0,5 ч теория).
  • Обзор OWASP TOP 10 (0,5 ч теория).
  • A1:2017-Injection (1 ч теория + 2 ч практика).
  • A2:2017-Broken Authentication (1 ч теория + 1 ч практика).
  • A3:2017-Sensitive Data Exposure (1 ч теория + 1 ч практика).
  • A4:2017-XML External Entities (XXE) (1 ч теория + 1 ч практика).
  • A5:2017-Broken Access Control (1 ч теория + 1 ч практика).
  • A6:2017-Security Misconfiguration (0,5 ч теория + 1 ч практика).
  • A7:2017-Cross-Site Scripting (XSS) (2 ч теория + 2 ч практика).
  • A8:2017-Insecure Deserialization (1 ч теория + 1 ч практика).
  • A9:2017-Using Components with Known Vulnerabilities (0,5 ч теория + 0,5 ч практика).
  • A10:2017-Insufficient Logging&Monitoring (0,5 ч теория + 0,5 ч практика).
  • A8:2013-Cross-Site Request Forgery (CSRF) (0,5 ч теория + 1 ч практика).
  • Выходное тестирование (1 ч.).

Цели

После обучения участник сможет избегать уязвимости OWASP Top-10 при разработке веб-приложений и находить их статическими и динамическими методами в уже написанном коде/конфигурации.

Целевая аудитория

  • Разработчики, Старшие разработчики;
  • Специалисты по тестированию;
  • Специалисты по безопасности;
  • Архитекторы веб-приложений.

Предварительная подготовка

Участники курса должны уметь работать с веб-браузером, читать и писать код современных веб-приложений и понимать их основные принципы работы: HTTP, Cookies, Proxies.
После окончания курса выдаётся сертификат на бланке Luxoft Training
Гатауллин Динар Эксперт/тренер по безопасной разработке приложений (Application Security)
Ведущий специалист-аналитик по безопасной разработке приложений (Application Security) в компании Luxoft.
Имеет высшее образование по направлению информационной безопасности и опыт работы 8+ лет. Интересуется как способами защиты, так и способами нападения на информационные системы (в рамках закона и в целях проактивной защиты). В настоящее время специализируются в области ручного тестирования защищенности комплексных web-систем и мобильных приложений.
Offensive Security Certified Professional (OSCP).
Данный курс запланирован в городах: Санкт-Петербург
10.03.2020 - 12.03.2020
Время: 10:00-18:00
Локация: Санкт-Петербург
Длительность: 24 ч.
Тренер
Гатауллин Динар
Эксперт/тренер по безопасной разработке приложений (Application Security)

10.03.2020

Не подходят даты, время или хотите заказать корпоративное обучение для команды?
+
Предложите свой вариант
Не подходят даты, время или хотите заказать корпоративное обучение для команды?
+
Предложите свой вариант
Москва 30 500 1
Санкт-Петербург 27 450 1
Омск 22 880 1
Киев 8 900 грн.
Одесса 8 000 грн.
Днепр 8 000 грн.

Записаться на курс

Выбрать дату
Если Вам не подходят дата и место проведения тренинга, Вы можете оставить заявку на участие в нем в любом из городов, где представлены филиалы Luxoft Training. Для этого выберите вариант "Открытая дата" и укажите желаемое место проведения курса.
Желаемое место проведения курса
Вы можете оставить заявку на корпоративное обучение сотрудников Вашей компании в любом городе России или Украины, выбрав вариант "Другой город"
Фамилия *

Имя *

Отчество

Контактный E-mail *

Компания *

Телефон *

Город *

Комментарий
Оценка и обучение ИТ-специалистов по ключевым направлениям разработки программного обеспечения. Курсы от экспертов-практиков по языкам программирования, системному и бизнес-анализу, управлению проектами, тестированию ПО, архитектуре ПО. Luxoft Training – единственный учебный центр в России, авторизованный IIBA. Действует скидка 10% на обучение физических лиц.
   Подпишись на ежемесячный DigestLT
Успешная форма подписки.
Пользователь только что записался на курс ""
Спасибо!
Форма отправлена успешно.