Catalogue
ANT0301
Безопасность WEB-приложенийEducational program code: Администрирование сетевого оборудования
ANT0301
#Offline — Offline with instructor.
#Remote — Remote with instructor.
50,400
5 days
By request

Материал данного курса позволит слушателям изучить принципы и конкретные механизмы защиты Web-приложений. Также материал курса раскрывает методологические аспекты проектирования, внедрения и обеспечения работоспособности Web-приложений в рамках архитектуры корпоративной кибербезопасности.

Аудитория курса:

Инженеры, обеспечивающие кибербезопасность корпоративной сетевой инфраструктуры, а также кибербезопасность корпоративных WEB-приложений, инженеры, проектирующие корпоративную архитектуру кибербезопасности.

Предварительные требования к аудитории:

Необходимы знания о работе сетей TCP/IP на уровне курса ANT-N101, а также знания общей кибербезопасности на уровне курса ANT0000.

Содержание курса:

  • Модуль 1 – Архитектура и компоненты Web-приложений.
  • HTML и HTTP.
  • XML.
  • Web-серверы.
  • Web-клиенты.
  • «Активный» контент.
  • Архитектура Progressive Web App.

 

  • Модуль 2 – Модель угроз Web-приложений.
  • Угрозы серверной части Web-приложений.
  • Угрозы клиентской части Web-приложений.
  • Построение модели угроз Web-приложения.

 

  • Модуль 3 – Механизмы защиты серверной части Web-приложений.
  • Защита от DoS и DDoS атак.
  • Аутентификация и авторизация.
  • SSO. OpenID и OAuth.
  • Проблемы obfuscation.
  • Безопасные процедуры загрузки файлов.
  • Защита от инъекций.
  • Защита от атак криптоанализа.
  • Защита Web-framework’ов.

 

  •  Модуль 4 – Механизмы защиты клиентской части Web-приложений.
  • Особенности работы browser’ов.
  • Content Security Policy и CORS.
  • Особенности обработки сторонних Java Script’ов.
  • Проблемы obfuscation.
  • Защита от атак XSS.
  • Защита от атак CSRF.
  • Защита от атак Clickjacking.
  • Механизмы защиты HTML5.

 

  • Модуль 5 – Настройки безопасности Web-серверов.
  • Apache.
  • NGINX.
  • IIS.
  • jBoss.
  • Wildfly.
  • TOMCAT.

 

  • Модуль 6 – Web Application Firewall.
  • Концепция WAF.
  • Установка и конфигурация WAF Modsecurity.
  • Интеграция WAF Modsecurity и IPS.
  • Настройка правил фильтрации WAF Modsecurity.
  • Использование репутационного анализа.
  • Обнаружение аномалий.
  • Оптимизация работы WAF Modsecurity.

 

  • Модуль 7 – Обработка инцидентов кибербезопасности в Web-приложении.
  • Мониторинг событий и инцидентов кибербезопасности.
  • Реагирование на события и инциденты кибербезопасности.
  • Модернизация модели угроз и расчетов рисков на основании данных о новых событиях и инцидентах.

 

  • Модуль 8 Проектирование Web-приложений в рамках архитектуры корпоративной кибербезопасности.
  • Политики безопасности Web-приложений.
  • Метрики безопасности Web-приложений.
  • Web-приложения в рамках архитектуры корпоративной безопасности.