Новости
Безпека операційних середовищ, безпеку додатків
Орієнтований на: менеджерів і аналітиків з інформаційної безпеки; менеджерів з інформаційних технологій; ревізорів інформаційних систем; архітекторів інформаційних систем; архітекторів захисту; фахівців з сертифікації прикладних систем; консультантів; розробників додатків.
Попередній рівень підготовки: високий. Ви повинні прослухати курс "Intermediate IT Audit School" , Або мати відповідні знання. Мається на увазі базове знання мереж TCP / IP і пов'язаних з ними мережевих додатків.
Тривалість: 4 дні, 32 години.
Методичні матеріали: методичні матеріали навчального центру.
Бонус: на додаток до матеріалів курсу учасники отримають стандартне видання довідника "MIS Swiss Army Knife Reference", в якому перераховані сотні цінних ресурсів з інформаційної безпеки і аудиту ІС. Крім того, учасники отримають DVD-диск "Network Security and Audit Sampler" з великою підбіркою посилань і утиліт аудиту мереж.
програма курсу
- Архітектури веб-додатків
- безпеку клієнтського, серверного і проміжного ПО багаторівневих додатків
- компоненти сучасних додатків
- точки контролю веб-додатків
- програмні інтерфейси додатків (API) ПО захисту і проміжного програмного забезпечення
- найважливіше в HTTP і URL
- використання і захист управління контекстом обміну по HTTP: cookies, приховані поля, перегляд стану, рядки запитів
- локалізація контрольних точок і відповідні їм служби захисту в складних багаторівневих додатках
- Безпека і аудит сервера Web (HTTP)
- конфігурація веб-серверів: операційні особливості та можливості захисту
- найкраща практика конфігурації веб-серверів
- аутентифікація користувачів і технологія одноразового входу
- контроль доступу і процедури блокування сервера
- шифрування сесії: Secure Sockets Layer (SSL)
- журнали аудиту безпеки веб-сервера і системи виявлення вторгнень
- порівняльний аналіз вбудованих можливостей захисту відомих веб-серверів: Apache, Microsoft IIS
- небезпеки і заходи захисту при розробці віддалених веб-додатків: Frontpage, WebDAV, Expression Web
- компенсація слабкостей коду за допомогою балансування навантаження і екранів додатків
- інструментарій, методи і контрольні переліки захисту і аудиту веб-серверів
- Сервери веб-додатків
- ролі, архітектура і точки контролю безпеки для XML-орієнтованих середовищ розробки і пов'язаних з ними серверів веб-додатків
- декларативна і програмна безпеку викликів API
- оцінка наявних служб захисту і пов'язана з ними найкраща практика для двох основних середовищ розробки веб-серверів додатків:
- Microsoft. NET Framework і пов'язані з нею компоненти ASP.NET
- Java 2 Enterprise Edition (J2EE)
- розуміння і захист веб-служб OASIS і REST
- сервіс-орієнтована архітектура (SOA): факти і вигадка
- інструменти та методики забезпечення безпеки і проведення аудиту серверів веб-додатків і веб-служб
- Захист серверної складової веб-додатки: безпека і аудит систем управління базами даних (СКБД)
- термінологія, архітектура і функції СУБД і SQL
- властиві СУБД ризики безпеки
- порівняльний аналіз можливостей захисту та аудиту основних СУБД, використовуваних в веб-додатках: Oracle, Microsoft SQL Server, MySQL
- підключення і аутентифікація в СУБД
- управління обліковими записами користувачів і паролями
- дозволу, ролі
- методи захисту об'єктів БД: контроль доступу, шифрування
- можливості журналу аудиту БД
- журнали транзакцій і інші засоби контролю доступності БД
- вбудовані інструменти аудиту: таблиці словника даних, збережені процедури
- інструментарій, методики і контрольні переліки щодо захисту і аудиту СУБД
- Безпека при розробці ПО веб-додатків
- компоненти і інструменти середовища веб-додатки
- безпеку сценаріїв серверних веб-сторінок: SSI, CGI, ASP, ASP.NET, PHP, JSP
- безпеку мобільного коду: Java, ActiveX, VBScript, JavaScript, AJAX, ActionScript
- поширені уразливості і атаки для веб-додатків: повний перебір (brute force), перевищення привілеїв (privilege escalation), включення сценаріїв користувача в генеруються сервером сторінки (cross-site scripting), впровадження коду в SQL-запит (SQL injection), переповнення буфера
- найкраща практика перевірки коректності даних, що вводяться і обробки помилок
- інструменти та методи тестування і перевірки ПО
- інструментарій, методики і контрольні переліки забезпечення безпеки при розробці додатків