ДАТА:
19.02.2024 — 08.04.2024
ПРОДОЛЖИТЕЛЬНОСТЬ:
15 ОНЛАЙН-ЗАНЯТИЙ
[каждый понедельник и четверг]
Создавайте комплексную стратегию защиты веб-приложений, сканируйте уязвимости и устраняйте слабые места заранее — на курсе Application Security. За 7 недель научитесь предотвращать кибератаки и писать квалифицированные отчеты с анализом угроз.
КУРС ПОДОЙДЕТ
-
Developers Чтобы находить уязвимости на этапе написания кода, понимать причины их возникновения и алгоритм устранения
-
QA Engineers Чтобы научиться динамическому тестированию уязвимости приложений и самостоятельно проводить пентесты
-
Початківцям у сфері кібербезпеки Чтобы искать недостатки безопасности, противодействовать атакам на серверную и клиентскую части, а также оформлять отчеты об уязвимости приложений
-
Іншим IT-спеціалістам Чтобы рассчитывать риски для активов компании, вероятность компрометации информации и продукта в целом
-
Любой бизнес в сети автоматически оказывается под угрозой кибератак — кому-то удается выстоять, а кому-то, к сожалению, придется сломаться. Предугадать момент взлома невозможно, но обыграть хакеров можно благодаря стратегии кибербезопасности. Ведь именно от этого зависит ваша виртуальная устойчивость и готовность к нападениям.
-
На этом курсе мы сначала изучим основы кибербезопасности и работы с сетями, разберем уязвимости на практике и научимся противостоять атакам. Освоим не только технические скилы взлома, но и сможем обосновать целесообразность исправления ошибок и демонстрировать потенциальное влияние на систему.
У ПРОГРАММУ КУРСА ВХОДЯТ:
-
Теория Ознакомитесь с направлением кибербезопасности, рассмотрите процесс работы Application Security Engineer и все этапы тестирования приложений.
-
Практика Отточите навыки на воркшопах, где сможете набить руку на реальных примерах проведения атак, выявить незащищенные места и способы их устранения.
-
Проект В финале курса презентуете проект, где определите уязвимости и риски сложной незащищенной веб-аппликации, объединяющей самые распространенные недостатки реальных проектов.
-
Карьера Рассмотрите направления профессионального развития на технических и руководящих должностях. Подготовитесь к интервью на позицию Application Security Engineer.
ЛЕКТОР:
Богдан Середницкий
- Cyber Security Engineer в Ciklum, ex-Security Engineer в SoftServe
- 10+ лет работает в сфере информационной безопасности
- создавал инструменты для проверки безопасности кода для компании с 61+ тысячей специалистов
- работал с разными задачами, включая Penetration Testing, анализ мобильных и веб-приложений клиента, проведение атак социальной инженерии, подготовку клиента к разным видам требований соответствия (PCI-DSS, HIPAA)
- разрабатывал и проводил тренинги по кибербезопасности
ПРОГРАММА
-
01
Знакомство с направлением кибербезопасности
- Поймете основные определения и подходы в сфере кибербезопасности
- Ознакомитесь с базовыми инструментами для прохождения курса
- Узнаете, какие направления профессионального развития существуют в сфере кибербезопасности
-
02
Процесс работы Application Security
- Ознакомитесь с задачами, которые выполняет Application Security Engineer
- Рассмотрите фреймворки, которыми руководствуются Application Security Engineers
- Узнаете категории уязвимостей по списку OWASP Top 10
- Поймете, из чего состоит отчет уязвимостей и как он выглядит
-
03
Основы сетей
- Поймете общие принципы работы сети, модель OSI
- Сможете устанавливать, настраивать и работать с сетевыми утилитами
- Узнаете, какие направления атак на сеть существуют
- Научитесь сканировать сеть и перехватывать трафик со своего компьютера
-
04
Построение карты приложения
- Узнаете способы поиска всех возможных компонентов приложения
- Поймете, как работать с Burp Suite Proxy
-
05
Основы криптографии
- Поймете разницу между шифрованием, хешированием и кодировкой
- Изучите принципы синхронной и асинхронной криптографии
- Узнаете, как происходит шифрование информации
- Ознакомитесь с криптографическим алгоритмом RSA
- Рассмотрите основные атаки на криптографию
-
06
Атаки на серверную часть веб-приложений (Часть 1)
- Ознакомитесь с разными типами уязвимостей: XXE, File Upload
- Научитесь запускать сканеры уязвимостей
-
07
Воркшоп № 1 — SQL injections, sqlmap
- Узнаете, что такое SQL-инъекция
- Сможете продемонстрировать уязвимость и ее влияние на систему
- Ознакомьтесь с инструментами поиска уязвимости
- Научитесь исправлять уязвимую систему
-
08
Атаки на серверную часть веб-приложений (Часть 2)
- Узнаете типичные уязвимости, касающиеся контроля доступа
-
09
Атаки на серверную часть веб-приложений (Часть 3)
- Сможете идентифицировать и эксплуатировать атаки на шаблоны
- Поймете принцип проверки безопасности API
- Узнаете векторы и развитие SSRF-атак
-
10
Воркшоп № 2 — SSRF, SSTI, API attacks
- Поймете, как осуществлять поиск, развивать и эксплуатировать уязвимости на серверную часть веб-приложений
-
11
Атаки на клиентскую часть веб-приложений
- Ознакомитесь с поиском, эксплуатацией и рекомендациями по защите уязвимостей: XSS, CSRF, Clickjacking
- Рассмотрите уязвимости, касающиеся JWT
-
12
Воркшоп № 3 — Поиск и эксплуатация уязвимостей на клиентскую часть веб-приложений
- Узнаете, как обнаруживать и развертывать атаки на клиентскую часть веб-приложений
- Овладеете способами обхода защиты на клиентской стороне
-
13
Подготовка отчета уязвимостей
- Узнаете, как написать отчет по выполненному проекту поиска уязвимостей в веб-приложении
- Поймете структуру отчета и роль его основных частей
- Научитесь представлять отчет для технических и менеджмент-ролей
-
14
Уязвимости, связанные с человеческим фактором. Направления развития в сфере кибербезопасности
- Ознакомитесь с уязвимостями, касающимися бизнес-логики
- Поймете направления развития в сфере кибербезопасности
- Узнаете, как подготовиться к практической части собеседования
-
15
Презентация курсового проекта
Регистрация