Главная > Курсы > Информационная безопасность

Атака и защита веб - сайтов по OWASP Top 10

Путеводитель

Информационная безопасность

Этот курс в нашем Центре
успешно закончили
1156 человек!

Attack and Defense sites according OWASP Top 10

Цель курса – научить успешно выявлять и устранять проблемы безопасности веб-приложений. Курс посвящен методикам проведения тестирования на проникновение согласно классификации OWASP Top 10.

В курсе представлены подробные материалы по работе веб-серверов и веб-приложений. Детально описаны уязвимости в соответствии с классификацией OWASP Top 10 и техники применения эксплойтов для многочисленных тестов на проникновение. А также предложены рекомендации по укреплению защищённости веб-приложений для каждого вида уязвимости.

На занятиях используется учебное веб-приложение, специально написанное на PHP + MySQL, содержащее множество уязвимостей, отсортированных по OWASP Top 10. Студенты не только узнают, какие бывают уязвимости, но и учатся эксплуатировать эти уязвимости, то есть, проводить атаки на каждую уязвимость, учатся защищаться от таких атак.

Курс авторский. Занятия проводит авторизованный инструктор EC-Council, имеющий статус сертифицированного этичного хакера, аналитика безопасности и пентестера.

Целевая аудитория курса:

Системные администраторы безопасности, инженеры и аудиторы, работающие или предполагающие работать на средних и крупных предприятиях.
К основной целевой аудитории данного курса также относятся специалисты в области информационных технологий, включая администраторов предприятий, желающих улучшить свои знания и навыки в области безопасности веб-серверов.
Курс будет интересен квалифицированным специалистам, желающим понять принципы и техники взлома веб-сайтов и меры по защите веб-сайтов от взлома.

После завершения обучения вы будете уметь проводить анализ и выполнять последовательное тестирование всех способов атаки на веб-приложения по классификации OWASP Top 10.

Научитесь быть неуязвимым у признанного профессионала мирового уровня.

Мы гарантируем 100% качество обучения!

По окончании курса Вы будете уметь:

проводить анализ и выполнять последовательное тестирование всех способов атаки на веб-приложения по классификации OWASP Top 10.

Специалисты, обладающие этими знаниями и навыками, в настоящее время крайне востребованы. Большинство выпускников наших курсов делают успешную карьеру и пользуются уважением работодателей.

Продолжительность курса - 24 ак. ч.

Преподаватели курса

Отзывы о курсе

Клевогин Сергей Павлович

О преподавателе:
Уникальный по квалификации и опыту профессионал, ведущий преподаватель по направлению «Безопасность компьютерных сетей». Первым в России получил статус авторизованного инструктора по этичному хакингу. Состоит в «Круге совершенства» инструкторов по этичному хакингу, имеет статус Licensed Penetration Tester (Master). На его занятиях царит атмосфера настоящего праздника знаний, опыта и мастерства. Слушатели в восторге — читайте отзывы и убедитесь сами!Читать далее

Все преподаватели по курсу

Отлично подготолвенная лаборатория и документация по использованию.

Cлушатель: Малинкин Сергей Александрович

Курс открытого обучения расчитан на пять дней, а видео-урок на три дня, если просто посмотреть, то останеться много времени. На мой взгляд, хорошо бы разбавить небольшими практическими заданиями на заданную далее

Cлушатель: Копылов Игорь Николаевич

Все отзывы по курсу

Предварительная подготовка

Требуемая подготовка: Успешное окончание курса Тактическая периметровая защита предприятия или эквивалентная подготовка.

Требуемая подготовка: Успешное окончание курса Английский язык для IT специалистов (pre - intermediate) или знание технического английского языка.

Рекомендуемая подготовка (необязательная): Успешное окончание курса CEH. Этичный хакинг и тестирование на проникновение или эквивалентная подготовка.

Получить консультацию о необходимой предварительной подготовке по курсу Вы можете у наших менеджеров: +7 (495) 232-32-16.

Наличие предварительной подготовки является залогом Вашего успешного обучения. Предварительная подготовка указывается в виде названия других курсов Центра (Обязательная предварительная подготовка). Вам следует прочитать программу указанного курса и самостоятельно оценить, есть ли у Вас знания и опыт, эквивалентные данной программе. Если Вы обладаете знаниями менее 85-90% рекомендуемого курса, то Вы обязательно должны получить предварительную подготовку. Только после этого Вы сможете качественно обучиться на выбранном курсе.

Программа курса

для печати

	Тема	Ак. часов
	Тема	Ак. часов
	Модуль 1. Концепции веб-сайтов Принципы работы веб-серверов и веб-приложений Принципы безопасности веб-сайтов и веб-приложений Что такое OWASP Обзор классификации OWASP Top 10 Знакомство с инструментами для выполнения атак Настройка лаборатории Лабораторная работа: Установка, настройка и запуск учебного сайта	2
	Модуль 2. Инъекции Что такое инъекции и почему они становятся возможными Не SQL инъекции HTML инъекции Что такое iFrame iFrame инъекции Что такое LDAP LDAP инъекции Что такое почтовые заголовки Инъекции в почтовых заголовках Инъекции команд операционной системы Инъекции PHP кода Что такое включения на стороне сервера (SSI) SSI инъекции Концепции языка структурированных запросов (SQL) Простые SQL инъекции SQL инъекции Что такое AJAX/JSON/jQuery SQL инъекции в AJAX/JSON/jQuery Что такое CAPTCHA SQL инъекции в обход CAPTCHA SQLite инъекции Пример SQL инъекции в Drupal Что такое хранимые SQL инъекции Хранимые SQL инъекции Хранимые SQLite инъекции Концепции XML Хранимые SQL инъекции в XML Использование User-Agent SQL инъекции в поле User-Agent Слепые SQL инъекции Слепые SQL инъекции на логической основе Слепые SQL инъекции на временной основе Слепые SQLite инъекции Что такое протокол доступа к объектам (SOAP) Слепые SQL Injection в SOAP XML/XPath инъекции Лабораторная работа: Выполнение атак на учебный веб-сайт с применением инъекций и защита сайта от таких атак.	4
	Модуль 3. Взлом аутентификации и сеанса Атаки на аутентификацию Обход CAPTCHA Атака на функционал восстановления паролей Атака на формы входа Атака на управление выходом Атаки на пароли Использование слабых паролей Использование универсального пароля Атаки на управление сеансом Атаки на административные порталы Атаки на Cookies Атаки на передачу идентификатора сеанса в URL Фиксация сеанса Защита от атак на аутентификацию и управление сеансом Лабораторная работа: Выполнение атак на учебный веб-сайт с применением атак на аутентификацию и управление сеансом.	2
	Модуль 4. Утечка важных данных Принципы атак, приводящих к утечке данных Использование кодировки Base64 Открытая передача верительных данных по HTTP Атаки на SSL BEAST/CRIME/BREACH Атака на уязвимость Heartbleed Уязвимость POODLE Хранение данных в веб-хранилище HTML5 Использование устаревших версий SSL Хранение данных в текстовых файлах Лабораторная работа: Выполнение атак на учебный веб-сайт с применением техник раскрытия чувствительных данных и защита сайта от таких атак.	2
	Модуль 5. Внешние XML объекты Что такое внешние объекты XML (XXE) Принципы атак на внешние объекты XML Атака на внешние XML объекты Атака XXE при сбросе пароля Атака на уязвимость в форме входа Атака на уязвимость в форме поиска Атака на отказ в обслуживании Лабораторная работа: Выполнение XXE атак на учебном веб-сервере и защита.	2
	Модуль 6. Нарушение контроля доступа Концепции DOR Пример атаки на небезопасную прямую ссылку при смене пароля пользователя Пример атаки на небезопасную прямую ссылку при сбросе пароля пользователя Пример атаки на небезопасную прямую ссылку при заказе билетов в интернет-магазине Принципы атак на функциональный уровень Что такое обход каталога Обход каталога в каталогах Обход каталога в файлах Предназначение заголовка хоста в HTTP Атака на заголовок Host, приводящая к отравлению кэша Атака на заголовок Host, приводящая к сбросу пароля Концепции подключения локального или удаленного файла Включение локального файла в SQLiteManager Включение локального или удаленного файла (RFI/LFI) Другие возможности ограничения доступа Атака на ограничение доступа устройств Атака на ограничение доступа к каталогам Что такое подделка запросов на стороне сервера (SSRF) Атака SSRF Что такое внешние объекты XML (XXE) Атака на XXE Лабораторная работа: Выполнение атак на функционал учебного веб-сервера и защита.	2
	Модуль 7. Небезопасная конфигурация Принципы атак на конфигурацию Произвольный доступ к файлам в Samba Файл междоменной политики Flash Общие ресурсы в AJAX Межсайтовая трассировка (XST) Отказ в обслуживании (Large Chunk Size) Отказ в обслуживании (Slow HTTP DoS) Отказ в обслуживании (SSL-Exhaustion) Отказ в обслуживании (XML Bomb) Небезопасная конфигурация DistCC Небезопасная конфигурация FTP Небезопасная конфигурация NTP Небезопасная конфигурация SNMP Небезопасная конфигурация VNC Небезопасная конфигурация WebDAV Локальное повышение привилегий Атака «Человек посередине» в HTTP Атака «Человек посередине» в SMTP Небезопасное хранение архивных файлов Файл robots Лабораторная работа: Выполнение атак на конфигурацию учебного веб-сервера и защита от таких атак.	2
	Модуль 8. Межсайтовый скриптинг (XSS) Концепции XSS Отраженные XSS Отраженная XSS в GET запросах Отраженная XSS в POST запросах Что такое JSON Отраженная XSS в JSON Что такое AJAX Отраженная XSS в AJAX Отраженная XSS в XML Отраженная XSS в кнопке возврата Что такое функция Eval Отраженная XSS в функции Eval Что такое атрибут HREF Отраженная XSS в атрибуте HREF Отраженная XSS в форме входа Что такое phpMyAdmin Пример отраженной XSS в phpMyAdmin Что такое переменная PHP_SELF Отраженная XSS в переменной PHP_SELF Что такое заголовки HTTP Отраженная XSS в заголовке Referer Отраженная XSS в заголовке User-Agent Отраженная XSS в пользовательских заголовках Хранимые XSS Хранимые XSS в записях блогов Хранимые XSS при смене пользовательских данных Хранимые XSS в Cookies Хранимые XSS в SQLiteManager Хранимые XSS в заголовках HTTP Защита от XSS атак Лабораторная работа: Выполнение атак на учебный веб-сайт с помощью отраженных и хранимых XSS и защита сайта от таких атак.	3
	Модуль 9. Небезопасная десериализация Что такое сериализация и десериализация Принципы атак на небезопасную десериализацию Демонстрация инъекции PHP объекта Инъекция бэкдора при десериализации Небезопасная десериализация в JavaScript Лабораторная работа: Выполнение атак на учебный веб-сайт с уязвимостью небезопасной десериализации и защита сайта от таких атак.	2
	Модуль 10. Использование компонентов с известными уязвимостями Концепции инвентаризации уязвимостей Что такое переполнение буфера Локальные атаки на переполнение буфера Удаленные атаки на переполнение буфера SQL инъекция в Drupal (Drupageddon) Уязвимость Heartbleed Удаленное исполнение кода в PHP CGI Атака на функцию PHP Eval Уязвимость в phpMyAdmin BBCode Tag XSS Уязвимость Shellshock Подключение локального файла в SQLiteManager Инъекция PHP кода в SQLiteManager XSS в SQLiteManager Лабораторная работа: Выполнение атак на учебный веб-сервер с использованием эксплойтов на известные уязвимости и защита сервера от таких атак.	2
	Модуль 11. Отсутствие журналирования и мониторинга Концепции журналирования в веб-приложениях Пример недостаточного журналирования Пример уязвимости при журналировании Пример недостаточного мониторинга Лабораторная работа: Изучение концепций и практических примеров отсутствия журналирования и мониторинг.	1
	Аудиторная нагрузка в классе с преподавателем	24 +12 бесплатно
	По окончании обучения на курсе проводится итоговая аттестация. Аттестация проводится в виде теста на последнем занятии или на основании оценок практических работ, выполняемых во время обучения на курсе.

Ближайшие группы

Данный курс вы можете пройти как в очном формате, так и дистанционно в режиме онлайн. Чтобы записаться на онлайн-обучение, в корзине измените тип обучения на "онлайн" и выберите удобную для вас группу.
Чем онлайн-обучение отличается от других видов обучения?

Все
утро-день [10:00-17:10]
утро [10:00-13:10]
день [14:00-17:10]
вечер [18:30-21:30]
Выходные дни
Онлайн-обучение

Дата	Режим обучения	Место обучения	Преподаватель
Дата	Режим обучения	Место обучения	Преподаватель
07.08.2019 — 09.08.2019	ежедневно утро-день 10:00 — 17:10	«Радио» м.Бауманская, м.Авиамоторная	Клевогин Сергей Павлович
30.09.2019 — 02.10.2019	ежедневно утро-день 10:00 — 17:10 Открытое обучение Индивидуальные очные консультации преподавателей Обучение по видеозаписям реальных занятий Самостоятельный выбор темпа обучения Визуальный контакт с преподавателем и одногруппниками Оптимальное соотношение цены и качества Подробнее	«Радио» м.Бауманская, м.Авиамоторная	Клевогин Сергей Павлович
21.10.2019 — 23.10.2019	ежедневно утро-день 10:00 — 17:10 Открытое обучение Индивидуальные очные консультации преподавателей Обучение по видеозаписям реальных занятий Самостоятельный выбор темпа обучения Визуальный контакт с преподавателем и одногруппниками Оптимальное соотношение цены и качества Подробнее	«Радио» м.Бауманская, м.Авиамоторная	Клевогин Сергей Павлович
11.11.2019 — 13.11.2019	ежедневно утро-день 10:00 — 17:10 Открытое обучение Индивидуальные очные консультации преподавателей Обучение по видеозаписям реальных занятий Самостоятельный выбор темпа обучения Визуальный контакт с преподавателем и одногруппниками Оптимальное соотношение цены и качества Подробнее	«Радио» м.Бауманская, м.Авиамоторная	Клевогин Сергей Павлович

Дата	Режим обучения	Место обучения	Преподаватель
Дата	Режим обучения	Место обучения	Преподаватель
07.08.2019 — 09.08.2019	ежедневно утро-день 10:00 — 17:10	«Радио» м.Бауманская, м.Авиамоторная	Клевогин Сергей Павлович
30.09.2019 — 02.10.2019	ежедневно утро-день 10:00 — 17:10 Открытое обучение Индивидуальные очные консультации преподавателей Обучение по видеозаписям реальных занятий Самостоятельный выбор темпа обучения Визуальный контакт с преподавателем и одногруппниками Оптимальное соотношение цены и качества Подробнее	«Радио» м.Бауманская, м.Авиамоторная	Клевогин Сергей Павлович
21.10.2019 — 23.10.2019	ежедневно утро-день 10:00 — 17:10 Открытое обучение Индивидуальные очные консультации преподавателей Обучение по видеозаписям реальных занятий Самостоятельный выбор темпа обучения Визуальный контакт с преподавателем и одногруппниками Оптимальное соотношение цены и качества Подробнее	«Радио» м.Бауманская, м.Авиамоторная	Клевогин Сергей Павлович
11.11.2019 — 13.11.2019	ежедневно утро-день 10:00 — 17:10 Открытое обучение Индивидуальные очные консультации преподавателей Обучение по видеозаписям реальных занятий Самостоятельный выбор темпа обучения Визуальный контакт с преподавателем и одногруппниками Оптимальное соотношение цены и качества Подробнее	«Радио» м.Бауманская, м.Авиамоторная	Клевогин Сергей Павлович

Дата	Режим обучения	Место обучения	Преподаватель
Дата	Режим обучения	Место обучения	Преподаватель
07.08.2019 — 09.08.2019	ежедневно утро-день 10:00 — 17:10	«Радио» м.Бауманская, м.Авиамоторная	Клевогин Сергей Павлович
30.09.2019 — 02.10.2019	ежедневно утро-день 10:00 — 17:10 Открытое обучение Индивидуальные очные консультации преподавателей Обучение по видеозаписям реальных занятий Самостоятельный выбор темпа обучения Визуальный контакт с преподавателем и одногруппниками Оптимальное соотношение цены и качества Подробнее	«Радио» м.Бауманская, м.Авиамоторная	Клевогин Сергей Павлович
21.10.2019 — 23.10.2019	ежедневно утро-день 10:00 — 17:10 Открытое обучение Индивидуальные очные консультации преподавателей Обучение по видеозаписям реальных занятий Самостоятельный выбор темпа обучения Визуальный контакт с преподавателем и одногруппниками Оптимальное соотношение цены и качества Подробнее	«Радио» м.Бауманская, м.Авиамоторная	Клевогин Сергей Павлович
11.11.2019 — 13.11.2019	ежедневно утро-день 10:00 — 17:10 Открытое обучение Индивидуальные очные консультации преподавателей Обучение по видеозаписям реальных занятий Самостоятельный выбор темпа обучения Визуальный контакт с преподавателем и одногруппниками Оптимальное соотношение цены и качества Подробнее	«Радио» м.Бауманская, м.Авиамоторная	Клевогин Сергей Павлович

Стоимость обучения (рублей)*

Курс может быть заказан согласно ФЗ-44, ФЗ-223 (закупка/аукцион/запрос котировок/конкурсные процедуры)

	с 10:00 до 17:00	Вечер или Выходные Стандартная цена	Онлайн	Индивидуальное обучение	Записаться
	с 10:00 до 17:00	Вечер или Выходные Стандартная цена	Онлайн	Индивидуальное обучение	Записаться
Частные лица	17 990	17 990	17 990	61 200 **
Организации	18 990	18 990	18 990

Вы можете оплатить обучение в кредит от Альфа-банка (не менее 5 рабочих дней до старта группы, сумма кредита 5-200 тыс. рублей, без первоначального взноса). От 960 руб./месяц

Ваша выгода может быть 6 490 рублей

Атака и защита веб - сайтов по OWASP Top 10

СЕН2. Тестирование на проникновение хакера и анализ безопасности

= 140 490 руб.*
146 980 руб.

*Данное предложение действует только для частных лиц.

Все варианты комплексного обучения со скидками

Центр предоставляет специальную услугу Индивидуального обучения. Длительность индивидуального обучения - минимум 4 академических часа. Стоимость обучения в Москве уточняйте у менеджера. При выездном индивидуальном обучении устанавливается надбавка: +40% от стоимости заказанных часов при выезде в пределах МКАД, +40% от стоимости заказанных часов и + 1% от стоимости заказанных часов за каждый километр удаления от МКАД при выезде в пределах Московской области. Стоимость выезда за пределы Московской области рассчитывается индивидуально менеджерами по работе с корпоративными клиентами.
**Указана минимальная цена за индивидуальное обучение. Число часов работы с преподавателем в 2 раза меньше, чем при обучении в группе. Если Вам для полного усвоения материала курса потребуется больше часов работы с преподавателем, то они оплачиваются дополнительно.