КУРС ПІДІЙДЕ
-
Developers Щоб знаходити вразливості на етапі написання коду, розуміти причини їх виникнення та алгоритм усунення
-
QA Engineers Щоб навчитися динамічного тестування вразливості застосунків та самостійно проводити пентести
-
Початківцям у сфері кібербезпеки Щоб шукати безпекові недоліки, протидіяти атакам на серверну і клієнтську частини, а також оформлювати звіти про вразливість застосунків
-
Іншим IT-спеціалістам Щоб розраховувати ризики для активів компанії, ймовірності компрометації інформації та продукту загалом
-
Будь-який бізнес у мережі автоматично опиняється під загрозою кібератак — комусь вдається вистояти, а комусь, на жаль, доведеться зламатися. Передбачити момент зламу неможливо, але обіграти хакерів можна завдяки стратегії кібербезпеки. Адже саме від цього залежить ваша віртуальна стійкість та готовність до нападів.
-
На цьому курсі ми спочатку вивчимо основи кібербезпеки та роботи з мережами, розберемо вразливості на практиці й навчимося протистояти атакам. Опануємо не тільки технічні скіли зламу, а й зможемо обґрунтувати доцільність виправлення помилок і демонструвати потенційний вплив на систему.
У ПРОГРАМУ КУРСУ ВХОДЯТЬ
-
Теорія Познайомитеся з напрямом кібербезпеки, розглянете процес роботи Application Security Engineer та всі етапи тестування застосунків.
-
Практика Відточите навички на воркшопах, де зможете набити руку на реальних прикладах проведення атак, виявлятимете незахищені місця й способи їх усунення.
-
Проєкт У фіналі курсу презентуєте проєкт, де визначите вразливості та ризики складної незахищеної вебаплікації, яка поєднує найпоширеніші недоліки реальних проєктів.
-
Кар’єра Розглянете напрями професійного розвитку на технічних і керівних посадах. Підготуєтеся до інтерв’ю на позицію Application Security Engineer.
ЛЕКТОР:
Богдан Середницький
- Cyber Security Engineer в Ciklum, ex-Security Engineer в SoftServe
- 10+ років працює у сфері інформаційної безпеки
- створював інструменти для перевірки безпеки коду для компанії з 61+ тисячею фахівців
- працював з різними завданнями, включно з Penetration Testing, аналізом мобільних та вебзастосунків клієнта, проведенням атак соціальної інженерії, підготовкою клієнта до різних видів вимог відповідності (PCI-DSS, HIPAA)
- розробляв і проводив тренінги з кібербезпеки
ПРОГРАМА
-
01
Знайомство з напрямом кібербезпеки
- Зрозумієте основні визначення та підходи у сфері кібербезпеки
- Ознайомитеся з базовими інструментами для проходження курсу
- Дізнаєтесь, які напрями професійного розвитку існують у сфері кібербезпеки
-
02
Процес роботи Application Security
- Ознайомитесь із завданнями, які виконує Application Security Engineer
- Розглянете фреймворки, якими керуються Application Security Engineers
- Дізнаєтеся категорії вразливостей за списком OWASP Top 10
- Зрозумієте, з чого складається звіт вразливостей і який він має вигляд
-
03
Воркшоп № 1 — Огляд інструментів для роботи
- Дізнаєтесь, як працювати з Burp Suite Proxy і ZAP
- Навчитеся запускати сканери вразливостей
-
04
Кібербезпека мереж
- Зрозумієте загальні принципи роботи мережі, модель OSI
- Зможете встановлювати, налаштовувати й працювати з мережними утилітами
- Дізнаєтесь, які напрями атак на мережу існують
- Навчитеся сканувати мережу та перехоплювати трафік зі свого комп’ютера
-
05
Побудова карти застосунку
- Дізнаєтеся способи пошуку всіх можливих компонентів застосунку
- Зрозумієте, як працювати з Burp Suite Proxy
-
06
Основи криптографії
- Зрозумієте відмінність між шифруванням, хешуванням та кодуванням
- Вивчите принципи синхронної та асинхронної криптографії
- Дізнаєтесь, як відбувається шифрування інформації
- Ознайомитеся з криптографічним алгоритмом RSA
- Розглянете основні атаки на криптографію
-
07
Атаки на серверну частину вебзастосунків (Частина 1)
- Ознайомитеся з різними типами вразливостей: XXE, File Upload
- Навчитеся запускати сканери вразливостей
-
08
Воркшоп № 2 — SQL injections, sqlmap
- Дізнаєтеся, що таке SQL-ін'єкція
- Зможете продемонструвати вразливість та її вплив на систему
- Ознайомитеся з інструментами пошуку вразливості
- Навчитеся виправляти вразливу систему
-
09
Атаки на серверну частину вебзастосунків (Частина 2)
- Дізнаєтеся типові вразливості, що стосуються контролю доступу
-
10
Атаки на серверну частину вебзастосунків (Частина 3)
- Зможете ідентифікувати й експлуатувати атаки на шаблони
- Зрозумієте принцип перевірки безпеки API
- Дізнаєтеся вектори й розвиток SSRF-атак
-
11
Воркшоп № 3 — SSRF, SSTI, API attacks
- Зрозумієте, як здійснювати пошук, розвивати та експлуатувати вразливості на серверну частину вебзастосунків
-
12
Атаки на клієнтську частину вебзастосунків
- Ознайомитеся з пошуком, експлуатацією та рекомендаціями щодо захисту вразливостей: XSS, CSRF, Clickjacking
- Розглянете вразливості, що стосуються JWT
-
13
Підготовка звіту вразливостей
- Дізнаєтесь, як написати звіт з виконаного проєкту пошуку вразливостей у вебзастосунку
- Зрозумієте структуру звіту і роль його основних частин
- Навчитеся представляти звіт для технічних і менеджмент-ролей
-
14
Воркшоп № 4 — Пошук та експлуатація вразливостей на клієнтську частину вебзастосунків
- Дізнаєтесь, як виявляти й розгортати атаки на клієнтську частину вебзастосунків
- Опануєте способи обходу захисту на клієнтській стороні
-
15
Вразливості, пов’язані з людським фактором. Напрями розвитку в сфері кібербезпеки
- Ознайомитеся із вразливостями, що стосуються бізнес-логіки
- Зрозумієте напрями розвитку в сфері кібербезпеки
- Дізнаєтесь, як підготуватися до практичної частини співбесіди
-
16
Презентація курсового проєкту
Реєстрація