Безопасность приложений | OTUS
OTUS исполняется 3 года!
Скидки до 30% в честь дня рождения! Успейте купить курс по выгодной цене ➞
Выбрать курс

Курсы

Программирование
MS SQL Server разработчик AWS для разработчиков CI/CD на AWS, Azure и Gitlab Архитектура и шаблоны проектирования
-20%
Разработчик C++
-20%
Разработчик Java
-20%
React.js разработчик
-20%
Backend-разработчик на PHP
-30%
Алгоритмы для разработчиков
-30%
Agile Project Manager в IT
-30%
iOS Разработчик. Продвинутый курс v 2.0.
-10%
Разработчик Python
-30%
PostgreSQL
-10%
Разработчик игр на Unity
-15%
VOIP инженер
-30%
Web-разработчик на Python Cloud Solution Architecture
Специализации Курсы в разработке Подготовительные курсы
+7 499 110-61-65

Безопасность приложений

Курс по практике обеспечения безопасности приложений для программистов, QA инженеров, пентестеров, DevOps специалистов

Длительность

4 месяца

Продолжительность
4 месяца, 4 академ. часа в неделю
Что даст вам этот курс


  • Познакомит с основными уязвимостями веб-приложений, инструментами их поиска и методами их исправления
  • Научит основным этапам анализа защищенности приложений
  • Научит выполнять оценку защищенности программного продукта (методами "белого" и "черного" ящиков)
  • Научит методологии и практикам безопасной разработки



      Авторская программа от эксперта в области информационной безопасности


      Много практики на реальных кейсах


      Курс позволяет получить навыки поиска уязвимостей, которые пригодятся для подготовки к сертификациям OSCP, OSWE


      Выпускники курса могут стать Security Champion в своей организации (данная роль подразумевает, что разработчик знаком с практиками безопасной разработки)

Преподаватель
Денис Макрушин
Руководитель группы безопасности приложений в IT-компании из списка Fortune 100, ex-vulnerability researcher подразделения GREAT "Лаборатории Касперского"
Денис обладает разносторонним опытом в области информационной безопасности. На позиции Руководителя группы безопасности приложений он отвечает за построение и реализацию стратегии безопасной разработки SaaS-продукта для крупнейшей IT-компании из списка Fortune 100.

Ранее, в составе Глобального центра исследований и анализа угроз Лаборатории Касперского, он занимался поиском уязвимостей и анализом защищенности перспективных технологий. На основе данного опыта он выступил в качестве основателя и менеджера продукта класса Threat Intelligence.

Являясь выпускником факультета Информационной Безопасности НИЯУ МИФИ, Денис продолжает проводить технические исследования и регулярно делится их результатами на ведущих международных конференциях, таких как Defcon, RSA Conference, Infosecurity и других закрытых мероприятиях.

Преподаватель
Денис Макрушин
Руководитель группы безопасности приложений в IT-компании из списка Fortune 100, ex-vulnerability researcher подразделения GREAT "Лаборатории Касперского"
Денис обладает разносторонним опытом в области информационной безопасности. На позиции Руководителя группы безопасности приложений он отвечает за построение и реализацию стратегии безопасной разработки SaaS-продукта для крупнейшей IT-компании из списка Fortune 100.

Ранее, в составе Глобального центра исследований и анализа угроз Лаборатории Касперского, он занимался поиском уязвимостей и анализом защищенности перспективных технологий. На основе данного опыта он выступил в качестве основателя и менеджера продукта класса Threat Intelligence.

Являясь выпускником факультета Информационной Безопасности НИЯУ МИФИ, Денис продолжает проводить технические исследования и регулярно делится их результатами на ведущих международных конференциях, таких как Defcon, RSA Conference, Infosecurity и других закрытых мероприятиях.

Необходимые знания
  • Базовые навыки разработки на любом языке программирования
  • Понимание основ работы современных веб-приложений (TCP/IP, HTTP)
  • Основы использования операционных систем Windows и *nix
    Процесс обучения
    Образовательный процесс на курсе "Безопасность приложений" проходит в формате вебинаров (онлайн). Слушателям предлагаются к выполнению домашние задания, которые позволят применить на практике полученные во время вебинаров знания. По каждому домашнему заданию преподаватель даёт развернутый фидбек. Преподаватель находится в едином коммуникационном пространстве с группой, т. е. слушатель может задавать преподавателю уточняющие вопросы по материалам лекций и домашних заданий.

    Интенсивность: 2 онлайн-вебинара в неделю по 2 академических часа каждый и от 2 до 4 академических часов на домашнюю работу.

    По окончании курса вы получите материалы по пройденным занятиям (видеозаписи курса, дoполнительные материалы, финальный проект для добавления в портфолио).
    Программа обучения
    Модуль 1
    Введение. Основы, которые пригодятся для прохождения курса
    Модуль 2
    Методология поиска уязвимостей и стандарты безопасной разработки
    Модуль 3
    Автоматизация анализа защищенности кода и приложений
    Модуль 4
    Проектная работа
    Введение. Основы, которые пригодятся для прохождения курса
    Тема 1: Знакомство со структурой курса и используемым программным обеспечением
    на занятии будут рассмотрены виды веб-приложений и основные подходы к их построению.
    Домашние задания: 1
    1 Настройка Burp Suite
    Цель: Настроить Burp Suite для поиска уязвимостей следующего веб-ресурса: https://juice-shop.herokuapp.com/
    Тема 2: Основы веб-технологий
    понимать принципы, лежащие в основе современного веба;
    уметь анализировать HTTP трафик;
    Домашние задания: 2
    1 ДЗ 1.1
    Цель: Поиск уязвимостей в тестовом приложении.
    2 Работа с Burp Suite
    Цель: Выполнение задания позволит эффективно работать с Burp Suite
    Тема 3: Уязвимости клиентской стороны: CSRF
    классификация уязвимостей веб-приложений. Способы эксплуатации.
    Тема 4: Open Redirect, CSRF
    Тема 5: Уязвимости клиентской стороны: HTML Injection and Content Spoofing, Cross-Site Scripting
    классификация уязвимостей веб-приложений. Способы
    эксплуатации.
    Домашние задания: 1
    1 ДЗ 1.2
    Цель: Поиск уязвимостей в тестовом приложении.
    Тема 6: Уязвимости на стороне сервера: HTTP Parameter Pollution, CRLF Injection, SQL Injection, Template Injections
    Тема 7: Уязвимости на стороне сервера: Server- Side Request Forgery, XML External Entity, Subdomain Takeover
    классификация уязвимостей веб-приложений. Способы
    эксплуатации.
    Домашние задания: 2
    1 ДЗ 1.3
    Цель: Поиск уязвимостей в тестовом приложении.
    2 Поиск и эксплуатация SSRF
    Зарегистрироваться: https://portswigger.net/web-security
    Решить как минимум 3 задания в разделе Server-side request forgery (SSRF)
    Загрузить на otus скриншот
    Тема 8: Server-Side Request Forgery, XML External Entity, Subdomain Takeover
    классификация уязвимостей веб-приложений. Способы
    эксплуатации.
    Тема 9: OAuth Vulnerabilities, Application Logic и уязвимости конфигурации
    классификация уязвимостей веб-приложений. Способы
    эксплуатации.
    Домашние задания: 1
    1 ДЗ 1.4
    Цель: Поиск уязвимостей в тестовом приложении.
    Методология поиска уязвимостей и стандарты безопасной разработки
    Тема 1: Методологии безопасной разработки (SSDL): обзор сравнение, практическое применения
    список фреймворков безопасной разработки и критерии их выбора
    Домашние задания: 1
    1 ДЗ 2.1
    Цель: Сравнение методологий для тестовой организации, составление списка утилит для реализации требований выбранной методологии
    Тема 2: Утилиты для статического и динамического анализа защищенности: Часть 1
    обзор методов и утилит для реализации стадий атаки
    Домашние задания: 1
    1 Автоматизированный сбор информации и проверка на мисконфигурацию.
    Цель: Объединяем доступные opensource утилиты в один pipeline Расширяем функционал кастомными проверками
    Тема 3: Утилиты для статического и динамического анализа защищенности: Часть 2
    обзор методов и утилит для реализации стадий атаки
    Домашние задания: 1
    1 ДЗ 2.2
    Цель: Поиск уязвимостей в тестовом приложении с использованием заданных инструментов
    Тема 4: Целенаправленная атака на инфраструктуру: утилиты для реализации полного цикла атаки
    обзор методов и утилит для реализации стадий атаки
    Тема 5: Целенаправленная атака на инфраструктуру: утилиты для реализации полного цикла атаки
    обзор методов и утилит для реализации стадий атаки
    Домашние задания: 1
    1 ДЗ 2.3
    Цель: Поиск уязвимостей в тестовом приложении с использованием заданных инструментов
    Тема 6: Целенаправленная атака на инфраструктуру: утилиты для реализации полного цикла атаки
    обзор методов и утилит для реализации стадий атаки
    Домашние задания: 1
    1 Составляем отчет
    Цель: Цель домашнего задания — научиться правильно составлять отчет о найденной уязвимости.
    Тема 7: Методология анализа защищенности приложения
    ключевые этапы анализа защищенности и ожидаемые результаты
    9 апреля, 20:00 — 21:30
    Лектор: Михаил Буров
    Домашние задания: 1
    1 ДЗ 2.4
    Цель: Поиск уязвимостей в тестовом приложении
    Тема 8: Методология анализа защищенности приложения
    ключевые этапы анализа защищенности и ожидаемые результаты
    14 апреля, 20:00 — 21:30
    Лектор: Денис Макрушин
    Автоматизация анализа защищенности кода и приложений
    Тема 1: Инфраструктура для анализа защищенности: основы контейнерных технологий и автоматизации
    исследование контейнерной инфраструктуры и инструментов для работой с ней
    16 апреля, 20:00 — 21:30
    Тема 2: Инфраструктура для анализа защищенности: основы контейнерных технологий и автоматизации
    исследование контейнерной инфраструктуры и инструментов для работой с ней
    21 апреля, 20:00 — 21:30
    Домашние задания: 1
    1 ДЗ 3.1
    Цель: Изучение документации, выбор стека технологий, разворчивание тестового стенда
    Тема 3: Построение процесса автоматизации анализа защищенности и обработка результатов
    обзор методов и утилит для реализации стадий атаки
    23 апреля, 20:00 — 21:30
    Тема 4: Построение процесса автоматизации анализа защищенности и обработка результатов
    обзор методов и утилит для реализации стадий атаки
    28 апреля, 20:00 — 21:30
    Домашние задания: 1
    1 ДЗ 3.2
    Цель: Поиск уязвимостей в тестовой инфраструктуре
    Тема 5: Поиск уязвимостей в инфраструктуре для запуска приложений
    классификация уязвимостей инфраструктуры. Способы эксплуатации.
    30 апреля, 20:00 — 21:30
    Тема 6: Поиск уязвимостей в инфраструктуре для запуска приложений
    классификация уязвимостей инфраструктуры. Способы эксплуатации.
    7 мая, 20:00 — 21:30
    Домашние задания: 1
    1 ДЗ 3.3
    Цель: Поиск уязвимостей в тестовой инфраструктуре
    Тема 7: Анализ результатов исследований поиска уязвимостей
    разбор открытых и авторских исследований
    12 мая, 20:00 — 21:30
    Тема 8: Анализ результатов исследований поиска уязвимостей
    разбор открытых и авторских исследований
    14 мая, 20:00 — 21:30
    Проектная работа
    Тема 1: Выбор темы и организация проектной работы
    выбрать и обсудить тему проектной работы;
    спланировать работу над проектом;
    ознакомиться с регламентом работы над проектом.
    19 мая, 20:00 — 21:30
    Домашние задания: 1
    1 Проектная работа
    Финальный проект будет представлять из себя разработку стратегии поиска уязвимостей в веб-приложениях, подбор утилит для автоматизации и обнаружение уязвимостей и ошибок в реальных проектах
    Тема 2: Консультация по проектам и домашним заданиям
    получить ответы на вопросы по проекту, ДЗ и по курсу.
    21 мая, 20:00 — 21:30
    Тема 3: Защита проектных работ
    защитить проект и получить рекомендации экспертов.
    26 мая, 20:00 — 21:30
    Выпускной проект
    Финальный проект будет представлять из себя разработку стратегии поиска уязвимостей в веб-приложениях, подбор утилит для автоматизации, и обнаружение уязвимостей и ошибок в реальных проектах.
    Прошедшие открытые вебинары по курсу
    Открытый вебинар — это настоящее занятие в режиме он-лайн с преподавателем курса, которое позволяет посмотреть, как проходит процесс обучения. В ходе занятия слушатели имеют возможность задать вопросы и получить знания по реальным практическим кейсам.
    (Не)безопасность приложений: охота за ошибками
    Денис Макрушин
    День открытых дверей
    20 декабря 2019 года в 20:00
    После обучения вы

    • Будете иметь полное представление об уязвимостях веб-приложений и способах их эксплуатации как на стороне клиента, так и на стороне сервера
    • Будете разбираться в методологии безопасной разработки (фреймворки для безопасной разработки и критерии их выбора, ключевые этапы анализа защищенности)
    • Научитесь автоматизировать анализ защищенности и обработку результатов
    • Будете разбираться в утилитах и инфраструктуре для анализа защищенности
    • Будете разбираться в уязвимостях в инфраструктуре для запуска приложений и в способах их эксплуатации
    • Получите сертификат об окончании курса

    Ваш сертификат

    онлайн-образование

    Сертификат №0001

    Константин Константинопольский

    Успешно закончил курс «Безопасность приложений»
    Выполнено практических заданий: 16 из 16

    Общество с ограниченной ответственностью “Отус Онлайн-Образование”

    Город:
    Москва

    Генеральный директор ООО “Отус Онлайн-Образование”
    Виталий Чибриков

    Лицензия на осуществление образовательной деятельности
    № 039825 от 28 декабря 2018 года.

    онлайн-образование

    Сертификат №0001

    Константин Константинопольский

    Успешно закончил курс «Безопасность приложений»
    Выполнено практических заданий: 16 из 16

    Общество с ограниченной ответственностью “Отус Онлайн-Образование”

    Город:
    Москва

    Генеральный директор ООО “Отус Онлайн-Образование”
    Виталий Чибриков

    Лицензия на осуществление образовательной деятельности
    № 039825 от 28 декабря 2018 года.
    🔥 Скидки до 50% на новые супер-интенсивы!
    «Тестирование игр», «Data Engineer», «работа с протоколом BGP». Узнайте подробности в чате ➞