Программа разработана с целью формирования у специалистов практических навыков защиты веб-приложений с помощью межсетевых экранов прикладного уровня (WAF) — от понимания базовых принципов до тонкой настройки правил и интеграции в комплексную систему безопасности.
Обучение строится на синтезе фундаментальной теории (принципы работы, классификация, механизмы защиты) и решения практических заданий.
8 ч.
2 практические работы
Курс
«СИСТЕМЫ ЗАЩИТЫ ВЕБ-ПРИЛОЖЕНИЙ»
«СИСТЕМЫ ЗАЩИТЫ ВЕБ-ПРИЛОЖЕНИЙ»
Для кого
>>
Backend-разработчики
Аналитики
информационной безопасности
информационной безопасности
Студенты
направлений ИТ и ИБ
направлений ИТ и ИБ
Системные и сетевые
администраторы
администраторы
Инженеры безопасности
Специалисты по тестированию на проникновение
О курсе
>>
Профессиональные треки, развиваемые на курсе
Аналитик SOC
Инженер WAF
Инженер/архитектор ИБ
Специалист по реагированию на инциденты
Специалист по тестированию на проникновение
С чем познакомитесь на курсе
WAF
OWASP
SIEM
Механизмы защиты
IDS/IPS
Углубите знания в областях
Архитектура и классификация WAF-решений
Тактики обхода защиты и методы противодействия
Практическая настройка и проксирование трафика
Разработка пользовательских правил безопасности
Принципы работы защитных механизмов (SQLi, XSS, CSRF)
Автор курса
>>
Михаил Черкашин
Руководитель Центра практик безопасной разработки, Innostage
Михаил Черкашин
Руководитель Центра практик безопасной разработки
программы обучения
>>
Содержание
Урок 1.1. Современный ландшафт угроз для веб-приложений. Изучаются базовые методы защиты веб-приложений (SAST, DAST, IAST, SCA), обоснование необходимости специализированных решений.
Урок 1.2. WAF: эволюция, принцип работы и место в инфраструктуре. Изучаются история развития межсетевых экранов к WAF, принцип работы на прикладном уровне (L7 OSI), анализ HTTP/HTTPS трафика.
Урок 1.3. Классификация WAF: как выбрать решение. Изучаются типы развертывания (аппаратные, программные, облачные), модели работы (сигнатурные, поведенческие), способы обработки трафика (Inline, Sniffing).
Урок 1.2. WAF: эволюция, принцип работы и место в инфраструктуре. Изучаются история развития межсетевых экранов к WAF, принцип работы на прикладном уровне (L7 OSI), анализ HTTP/HTTPS трафика.
Урок 1.3. Классификация WAF: как выбрать решение. Изучаются типы развертывания (аппаратные, программные, облачные), модели работы (сигнатурные, поведенческие), способы обработки трафика (Inline, Sniffing).
Урок 2.1. Ключевые защитные механизмы WAF. Изучается: принципы защиты от OWASP Top-10 (SQLi, XSS, CSRF), работа с черными/белыми списками, общие проверки HTTP-запросов.
Урок 2.2. Методы обхода WAF и анализ уязвимостей. Изучается: тактики злоумышленников для обхода защиты (спецсимволы, изменение кодировок, работа с ML-моделями) с целью понимания логики защиты.
Урок 2.3. Практика: публикация приложения за WAF. Изучается: пошаговый процесс настройки сущностей Upstream, Service и Web Application, работа с SSL, определение реального IP-адреса клиента.
Урок 2.4. Практика: разработка кастомных правил. Изучается: создание правил для решения конкретных задач: ограничение доступа к админ-панели, исключение IP пентестеров из блокировок, защита от новых уязвимостей (на примере CVE).
Урок 2.2. Методы обхода WAF и анализ уязвимостей. Изучается: тактики злоумышленников для обхода защиты (спецсимволы, изменение кодировок, работа с ML-моделями) с целью понимания логики защиты.
Урок 2.3. Практика: публикация приложения за WAF. Изучается: пошаговый процесс настройки сущностей Upstream, Service и Web Application, работа с SSL, определение реального IP-адреса клиента.
Урок 2.4. Практика: разработка кастомных правил. Изучается: создание правил для решения конкретных задач: ограничение доступа к админ-панели, исключение IP пентестеров из блокировок, защита от новых уязвимостей (на примере CVE).
Урок 3.1. WAF в экосистеме безопасности. Изучается: принципы и сценарии интеграции WAF со смежными системами: Anti-DDoS, SIEM, IDS/IPS, NTA и ICAP-сервисами (антивирусы, DLP).
Выбирайте Академию
>>
команды экспертов на рынке России и мира
Многолетний опыт
готовим профессионалов разного уровня: от линейных специалистов до руководителей
Профессиональный трек
команда Innostage SOC CyberART защищает государственный сектор
Защита госструктур
прошли открытые кибериспытания, показав успешность предлагаемых ИБ-решений
Мы — первые
5,000+ подключенных источников событий ИБ, уникальные сценарии угроз, симуляции реальных атак
Киберполигон Innostage
возможность решать разные задачи практической кибербезопасности благодаря глубине экспертных разработок
Широкая практика
Оставьте заявку
Специалисты Академии кибербезопасности Innostage свяжутся с Вами
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности