Кібербезпека вебзастосунків
Опануйте методології роботи кіберспеціалістів для виявлення та усунення вразливостей вебзастосунків.
Богдан Середницький
10+ років досвіду в інформаційній безпеці
Cyber Security Engineer в Ciklum
Щоб знаходити й зважати на вразливості на етапі написання коду, розуміти причини їхнього виникнення та алгоритми усунення
Щоб навчитися динамічного тестування застосунків на вразливості та стати більш кваліфікованими спеціалістами, що мають попит
Щоб шукати безпекові недоліки, протидіяти атакам на серверну і клієнтську частини, а також оформлювати звіти про вразливість застосунків
Щоб розраховувати ризики для активів компанії, ймовірності компрометації інформації та продукту загалом
Познайомитеся з напрямом кібербезпеки, розглянете процес роботи Application Security Engineer та всі етапи тестування застосунків.
Відточите навички на воркшопах, де зможете набити руку на реальних прикладах проведення атак, виявлятимете незахищені місця й способи їх усунення.
У фіналі курсу презентуєте проєкт, де визначите вразливості й ризики складної незахищеної вебаплікації, яка поєднує найпоширеніші недоліки реальних проєктів.
Розглянете напрями професійного розвитку на технічних і керівних посадах. Підготуєтеся до інтерв’ю на позицію Application Security Engineer.
Середницький
- Зрозумієте основні визначення та підходи у сфері кібербезпеки
- Ознайомитеся з базовими інструментами для проходження курсу
- Дізнаєтесь, які напрями професійного розвитку існують у сфері кібербезпеки
- Ознайомитесь із завданнями, які виконує Application Security Engineer
- Розглянете фреймворки, якими керуються Application Security Engineers
- Дізнаєтеся категорії вразливостей за списком OWASP Top 10
- Зрозумієте, з чого складається звіт вразливостей і який він має вигляд
- Дізнаєтесь, як працювати з Burp Suite Proxy і ZAP
- Навчитеся запускати сканери вразливостей
- Зрозумієте загальні принципи роботи мережі, модель OSI
- Зможете встановлювати, налаштовувати й працювати з мережними утилітами
- Дізнаєтесь, які напрями атак на мережу існують
- Навчитеся сканувати мережу та перехоплювати трафік зі свого комп’ютера
- Дізнаєтеся способи пошуку всіх можливих компонентів застосунку
- Зрозумієте, як працювати з Burp Suite Proxy
- Зрозумієте відмінність між шифруванням, хешуванням та кодуванням
- Вивчите принципи синхронної та асинхронної криптографії
- Дізнаєтесь, як відбувається шифрування інформації
- Ознайомитеся з криптографічним алгоритмом RSA
- Розглянете основні атаки на криптографію
- Ознайомитеся з різними типами вразливостей: XXE, File Upload
- Навчитеся запускати сканери вразливостей
- Дізнаєтеся, що таке SQL-ін’єкція
- Зможете продемонструвати вразливість та її вплив на систему
- Ознайомитеся з інструментами пошуку вразливості
- Навчитеся виправляти вразливу систему
- Дізнаєтеся типові вразливості, що стосуються контролю доступу
- Зможете ідентифікувати й експлуатувати атаки на шаблони
- Зрозумієте принцип перевірки безпеки API
- Дізнаєтеся вектори й розвиток SSRF-атак
- Зрозумієте, як здійснювати пошук, розвивати та експлуатувати вразливості на серверну частину вебзастосунків
- Ознайомитеся з пошуком, експлуатацією та рекомендаціями щодо захисту вразливостей: XSS, CSRF, Clickjacking
- Розглянете вразливості, що стосуються JWT
- Дізнаєтесь, як написати звіт з виконаного проєкту пошуку вразливостей у вебзастосунку
- Зрозумієте структуру звіту і роль його основних частин
- Навчитеся представляти звіт для технічних і менеджмент-ролей
- Дізнаєтесь, як виявляти й розгортати атаки на клієнтську частину вебзастосунків
- Опануєте способи обходу захисту на клієнтській стороні
- Ознайомитеся із вразливостями, що стосуються бізнес-логіки
- Зрозумієте напрями розвитку в сфері кібербезпеки
- Дізнаєтесь, як підготуватися до практичної частини співбесіди
- Презентуєте свою роботу колегам