Материал данного курса позволит слушателям изучить принципы и конкретные механизмы защиты Web-приложений. Также материал курса раскрывает методологические аспекты проектирования, внедрения и обеспечения работоспособности Web-приложений в рамках архитектуры корпоративной кибербезопасности.
Аудитория курса:
Инженеры, обеспечивающие кибербезопасность корпоративной сетевой инфраструктуры, а также кибербезопасность корпоративных WEB-приложений, инженеры, проектирующие корпоративную архитектуру кибербезопасности.
Предварительные требования к аудитории:
Необходимы знания о работе сетей TCP/IP на уровне курса ANT-N101, а также знания общей кибербезопасности на уровне курса ANT0000.
Содержание курса:
- Модуль 1 – Архитектура и компоненты Web-приложений.
- HTML и HTTP.
- XML.
- Web-серверы.
- Web-клиенты.
- «Активный» контент.
- Архитектура Progressive Web App.
- Модуль 2 – Модель угроз Web-приложений.
- Угрозы серверной части Web-приложений.
- Угрозы клиентской части Web-приложений.
- Построение модели угроз Web-приложения.
- Модуль 3 – Механизмы защиты серверной части Web-приложений.
- Защита от DoS и DDoS атак.
- Аутентификация и авторизация.
- SSO. OpenID и OAuth.
- Проблемы obfuscation.
- Безопасные процедуры загрузки файлов.
- Защита от инъекций.
- Защита от атак криптоанализа.
- Защита Web-framework’ов.
- Модуль 4 – Механизмы защиты клиентской части Web-приложений.
- Особенности работы browser’ов.
- Content Security Policy и CORS.
- Особенности обработки сторонних Java Script’ов.
- Проблемы obfuscation.
- Защита от атак XSS.
- Защита от атак CSRF.
- Защита от атак Clickjacking.
- Механизмы защиты HTML5.
- Модуль 5 – Настройки безопасности Web-серверов.
- Apache.
- NGINX.
- IIS.
- jBoss.
- Wildfly.
- TOMCAT.
- Модуль 6 – Web Application Firewall.
- Концепция WAF.
- Установка и конфигурация WAF Modsecurity.
- Интеграция WAF Modsecurity и IPS.
- Настройка правил фильтрации WAF Modsecurity.
- Использование репутационного анализа.
- Обнаружение аномалий.
- Оптимизация работы WAF Modsecurity.
- Модуль 7 – Обработка инцидентов кибербезопасности в Web-приложении.
- Мониторинг событий и инцидентов кибербезопасности.
- Реагирование на события и инциденты кибербезопасности.
- Модернизация модели угроз и расчетов рисков на основании данных о новых событиях и инцидентах.
- Модуль 8 – Проектирование Web-приложений в рамках архитектуры корпоративной кибербезопасности.
- Политики безопасности Web-приложений.
- Метрики безопасности Web-приложений.
- Web-приложения в рамках архитектуры корпоративной безопасности.