Учебный центр "Информзащита" -> Анализ и оценка защищенности Web-приложений
Анализ и оценка защищенности Web-приложений
Код БТ07, 2 дня
Статус
Авторский курс Учебного центра "Информзащита"
Аннотация
В курсе используются современные подходы к построению информационной инфраструктуры бизнеса на основе Web-технологий, рассматриваются уязвимости сетевых приложений и методы их устранения. Курс базируется на концепции глубокоэшелонированной защиты (Defence in depth), и включает методику поэтапной настройки всех компонентов, в том числе, сетевой инфраструктуры, базовых операционных систем, СУБД, и собственно Web-приложения для надежной защиты от распространенных атак, а также для повышения устойчивости к новым атакам.
Особое внимание в курсе уделяется защите на прикладном уровне, рассматриваются распространенные ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы устранения.
Анализируются методики и инструментарий, необходимые для проведения работ по оценке защищенности Web-приложений других разработчиков. В качестве критериев для проведения аудита используются общепринятые классификации Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification.
Половина учебного времени отведена практическим работам и демонстрациям. В ходе выполнения практических работ слушатели получают навыки поиска и устранения уязвимостей в Web-приложениях. Практические работы проводятся на базе систем, представляющих собой типовые Web-приложения, содержащие распространенные уязвимости, в том числе, обнаруженные специалистами Учебного центра "Информзащита" в процессе аудита безопасности Web-сайтов и клиентских приложений.
Аудитория
Системные и сетевые администраторы, ответственные за безопасность Web-приложений
Администраторы информационной безопасности
Эксперты и аналитики по вопросам компьютерной безопасности, ответственные за анализ состояния информационной безопасности, определение требований к защищенности сетевых ресурсов
по применению концепции Defence in Depth к защите Web-приложений
по основным уязвимостям и атакам на Web-приложения и методам защиты
по классификациям уязвимостей Web-приложений OWASP TOP 10 и Web Application Security Consortium Threat Classification
о принципах построения эффективных систем аутентификации и разграничения доступа к Web-ресурсам
о методах поиска уязвимостей в Web-приложениях
Вы сможете:
использовать средства аудита безопасности Web-приложений (Sleuth, WebScarab, Achilles, Odysseus, Paros)
выявлять уязвимости с использованием различных средств анализа защищённости, в т.ч. Nikto, XSpider
настраивать системы безопасности компонентов Web-приложения (ОС, СУБД, Web-сервера)
Пакет слушателя
Фирменное учебное пособие
Дополнительно
После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра "Информзащита".
Обучение на данном курсе учитывается при получении специалистами государственных документов в области информационной безопасности в Учебном центре "Информзащита" в соответствии с ПОЛОЖЕНИЕМ об условиях получения специалистами государственных документов о повышении квалификации в области защиты информации.
Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.
Программа курса
Проблемы и основные понятия безопасности Web-технологий. Основные понятия безопасности Web-технологий. Уровни информационной инфраструктуры. Концепция глубокоэшелонированной защиты. Основные источники уязвимостей. Методы оценки уязвимостей системы. Источники информации об уязвимостях.
Защита уровня сетевого взаимодействия. Уязвимости и атаки уровня сетевого взаимодействия. Защита сетевого взаимодействия ОС Windows. Защита сетевого взаимодействия MS SQL Server. Защита сетевого взаимодействия Internet Information Server. Дополнительные средства обеспечения безопасности на сетевом уровне.
Защита уровня серверной операционной системы. Уязвимости операционных систем. Настройка механизмов аутентификации и разграничения доступа операционной системы. Защита компонентов ОС, связанных с MS SQL Server. Защита компонентов ОС, связанных с IIS.
Защита уровня СУБД. Разграничение доступа к ресурсам MS SQL Server 2000. Настройка безопасности компонентов SQL Server 2000. Аудит корректности разрешений на объекты СУБД.
Базовые сведения о Web-технологиях. Протоколы и технологии Web. Протокол HTTP. Основные стандарты. Заголовки протокола. Методы передачи данных. Основные утилиты, используемые в курсе.
Уязвимости и атаки на Web-приложения. Источники возникновения уязвимостей. Атаки на Web-приложения. Список OWASP TOP 10. Классификация угроз Web Application Security Consortium.
Разглашение информации. Индексирование директорий. Идентификация приложений. Утечка информации. Обратный путь в директориях. Предсказуемое расположение ресурсов. Методы защиты. Защита критичных данных приложения.
Аутентификация. Методы аутентификации в Web-приложениях. Уязвимости аутентификации. Подбор. Недостаточная аутентификация. Небезопасное восстановление паролей.
Авторизация и идентификация сессии. Уязвимости реализации авторизации. Предсказуемое значение идентификатора сессии. Недостаточная авторизация. Отсутствие таймаута сессии. Фиксация сессии.
Уязвимости, приводящие к выполнению кода. Переполнение буфера. Атака на функции форматирования строк. Внедрение операторов LDAP. Выполнение команд операционной системы. Внедрение операторов SQL. Внедрение SQL кода вслепую. Внедрение серверных расширений. Внедрение операторов XPath.
Безопасность клиентских приложений. Подмена содержимого. Межсайтовое выполнение сценариев. Сохраненный вариант атаки. Отраженный вариант атаки. Использование внедрения сценариев. Защита от внедрения сценариев. Расщепление HTTP-запроса.
Анализ защищенности Web-приложений. Методология анализа защищённости. Специфика Web-приложений. Автоматизированные средства поиска уязвимостей. Сканеры уязвимостей Web-приложений.
Итоговые рекомендации по обеспечению безопасности Web-приложений.