В курсе используются современные подходы к построению информационной инфраструктуры бизнеса на основе Web-технологий, рассматриваются уязвимости сетевых приложений и методы их устранения. Курс базируется на концепции глубокоэшелонированной защиты (Defence in depth), и включает методику поэтапной настройки всех компонентов, в том числе, сетевой инфраструктуры, базовых операционных систем, системы управления базами данных (СУБД), и собственно Web-приложения для надежной защиты от распространенных атак, а также для повышения устойчивости к новым атакам.
Особое внимание в курсе уделяется защите на прикладном уровне, рассматриваются распространенные ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы устранения.
Анализируются методики и инструментарий, необходимые для проведения работ по оценке защищенности Web-приложений других разработчиков. В качестве критериев для проведения аудита используются общепринятые классификации Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification.
Половина учебного времени отведена практическим работам и демонстрациям. В ходе выполнения практических работ слушатели получают навыки поиска и устранения уязвимостей в Web-приложениях. Практические работы проводятся на базе систем, представляющих собой типовые Web-приложения, содержащие распространенные уязвимости, в том числе, обнаруженные специалистами Учебного центра «Информзащита» в процессе аудита безопасности Web-сайтов и клиентских приложений.
Аудитория
Системные и сетевые администраторы, ответственные за безопасность Web-приложений.
Администраторы информационной безопасности.
Эксперты и аналитики по вопросам компьютерной безопасности, ответственные за анализ состояния информационной безопасности, определение требований к защищенности сетевых ресурсов.
о применении концепции Defence in depth к защите Web-приложений;
основных уязвимостей и атак на Web-приложения;
методов защиты Web-приложений;
классификаций уязвимостей Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification;
принципов построения эффективных систем аутентификации и разграничения доступа к Web-ресурсам;
методов поиска уязвимостей в Web-приложениях.
Вы сможете:
использовать средства аудита безопасности Web-приложений (Sleuth, WebScarab, Achilles, Odysseus, Paros);
выявлять уязвимости с использованием различных средств анализа защищенности, в т.ч. Nikto, XSpider, MaxPatrol;
настраивать системы безопасности компонентов Web-приложения (ОС, СУБД, Web-сервера);
конфигурировать специализированные средства защиты Web-приложений, такие как Web Application Firewall.
Пакет слушателя
Фирменное учебное пособие.
Дополнительно
После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра "Информзащита".
Обучение на данном курсе учитывается при получении специалистами государственных документов в области информационной безопасности в Учебном центре "Информзащита" в соответствии с Положением об условиях получения специалистами государственных документов о повышении квалификации в области защиты информации.
Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.
Программа курса
Проблемы и основные понятия безопасности Web-технологий. Основные понятия безопасности Web-технологий. Уровни информационной инфраструктуры. Концепция глубокоэшелонированной защиты. Основные источники уязвимостей. Методы оценки уязвимостей системы. Источники информации об уязвимостях.
Защита уровня сетевого взаимодействия. Уязвимости и атаки уровня сетевого взаимодействия. Защита сетевого взаимодействия ОС Windows. Защита сетевого взаимодействия сервера СУБД. Защита сетевого взаимодействия Web-сервера. Дополнительные средства обеспечения безопасности на сетевом уровне.
Защита уровня серверной операционной системы. Уязвимости операционных систем. Настройка механизмов аутентификации и разграничения доступа операционной системы. Защита компонентов ОС, связанных с сервером СУБД. Защита компонентов ОС, связанных с Web-сервером.
Защита уровня СУБД. Разграничение доступа к ресурсам MS SQL Server. Настройка безопасности компонентов SQL Server. Аудит корректности разрешений на объекты СУБД.
Базовые сведения о Web-технологиях. Протоколы и технологии Web. Протокол HTTP. Основные стандарты. Заголовки протокола. Методы передачи данных. Основные утилиты, используемые в курсе.
Уязвимости и атаки на Web-приложения. Причины возникновения уязвимостей. Атаки на Web-приложения. Список OWASP TOP 10. Классификация угроз Web Application Security Consortium.
Разглашение информации. Индексирование директорий. Идентификация приложений. Утечка информации. Обратный путь в директориях. Предсказуемое расположение ресурсов. Методы защиты. Защита критичных данных приложения.
Аутентификация. Методы аутентификации в Web-приложениях. Уязвимости аутентификации. Подбор. Недостаточная аутентификация. Небезопасное восстановление паролей.
Авторизация и идентификация сессии. Уязвимости реализации авторизации. Предсказуемое значение идентификатора сессии. Недостаточная авторизация. Отсутствие таймаута сессии. Фиксация сессии. Некорректные разрешения.
Уязвимости, приводящие к выполнению кода. Переполнение буфера. Атака на функции форматирования строк. Внедрение операторов LDAP. Выполнение команд операционной системы. Внедрение операторов SQL. Внедрение SQL кода вслепую. Внедрение серверных расширений. Внедрение XML. Внедрение почтовых команд.
Безопасность клиентских приложений. Подмена содержимого. Межсайтовое выполнение сценариев. Сохраненный вариант атаки. Отраженный вариант атаки. Использование внедрения сценариев. Защита от внедрения сценариев. Подделка HTTP-запросов.
Web 2.0. Концепция Web 2.0 и AJAX. Угрозы, связанные с технологией AJAX. Web-черви.
Логические атаки. Злоупотребление функциональными возможностями. Отказ в обслуживании. Недостаточное противодействие автоматизации. Недостаточная проверка процесса. Функции перенаправления. Расщепление HTTP-запросов и ответов.
Анализ защищенности Web-приложений. Методология анализа защищенности. Специфика Web-приложений. Автоматизированные средства поиска уязвимостей. Сканеры уязвимостей Web-приложений.
Дополнительные механизмы защиты Web-приложений. Межсетевые экраны для Web-приложений (Web Application Firewalls). Возможности и ограничения WAF. Примеры реализации WAF. Использование mod_security для защиты трафика.