Программа разработана с целью формирования у специалистов практических навыков выявления, эксплуатации и предотвращения критических уязвимостей в веб-приложениях.
Обучение строится на принципе 70/20/10:
70% — практические задания в изолированных средах;
20% — разбор реальных кейсов и теория атак из OWASP Top 10;
10% — знакомство с инструментами тестирования на проникновение (Burp Suite, OWASP ZAP).
70% — практические задания в изолированных средах;
20% — разбор реальных кейсов и теория атак из OWASP Top 10;
10% — знакомство с инструментами тестирования на проникновение (Burp Suite, OWASP ZAP).
10 ч.
5 практических работ
Курс
«АТАКИ НА ВЕБ-ПРИЛОЖЕНИЯ»
«АТАКИ НА ВЕБ-ПРИЛОЖЕНИЯ»
Для кого
>>
Backend- и frontend-разработчики
Аналитики
информационной безопасности
информационной безопасности
Студенты
направлений ИТ и ИБ
направлений ИТ и ИБ
Системные
администраторы
администраторы
DevOps-
инженеры
инженеры
Специалисты по тестированию на проникновение
О курсе
>>
Профессиональные треки, развиваемые на курсе
Аналитик SOC
DevSecOps-инженер
Аналитик безопасности
веб-приложений
веб-приложений
Специалист по реагированию на инциденты
Специалист по тестированию на проникновение
С чем познакомитесь на курсе
OWASP
SQLi
XSS
Веб-фреймворки
Burp Suite
Углубите знания в областях
Защита механизмов аутентификации
Архитектура и угрозы веб-приложений
Эксплуатация уязвимостей OWASP Top-10
Анализ трафика и поиск уязвимостей
Принципы и инструменты предотвращения атак
Автор курса
>>
Михаил Черкашин
Руководитель Центра практик безопасной разработки, Innostage
Владислав Семейкин
Аналитик группы экспертного обучения и наставничества Innostage
- 3+ лет в информационной безопасности;
- Путь от оператора SOC до руководителя группы мониторинга;
- Эксперт в построении и развитии SOC - написание правил корреляции, создание киберполигонов, обучающих программ, исследовательская деятельность
программы обучения
>>
Содержание
Введение в веб-безопасность. Изучаются базовые компоненты веб-приложений (клиент, сервер, БД), причины возникновения уязвимостей и фундаментальные принципы защиты. Практика: развертывание веб-сервера Nginx и настройка простого сайта.
Атаки на данные и логику: SQLi, XSS, Path Traversal. Подробный разбор механизмов, примеров уязвимого кода и методов защиты от самых распространенных атак. Практика: выполнение заданий для отработки каждой уязвимости.
Инструменты динамического анализа: Burp Suite и OWASP ZAP. Знакомство с функционалом прокси-инструментов для перехвата, анализа и модификации трафика, автоматического сканирования. Практика: настройка прокси, сканирование и тестирование уязвимого приложения (bWAPP).
Методы выявления и предотвращения атак. Изучаются ключевые подходы: внедрение WAF (на примере ModSecurity), принципы безопасной разработки (Secure Coding) и обязательная фильтрация входных данных. Практика: установка и базовая настройка WAF ModSecurity для Nginx.
Выбирайте Академию
>>
команды экспертов на рынке России и мира
Многолетний опыт
готовим профессионалов разного уровня: от линейных специалистов до руководителей
Профессиональный трек
команда Innostage SOC CyberART защищает государственный сектор
Защита госструктур
прошли открытые кибериспытания, показав успешность предлагаемых ИБ-решений
Мы — первые
5,000+ подключенных источников событий ИБ, уникальные сценарии угроз, симуляции реальных атак
Киберполигон Innostage
возможность решать разные задачи практической кибербезопасности благодаря глубине экспертных разработок
Широкая практика
Оставьте заявку
Специалисты Академии кибербезопасности Innostage свяжутся с Вами
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности