Безопасность приложений | OTUS
Неделя кибер-студента!
Только на этой неделе — дополнительные скидки на обучение в честь Дня студента! Подробности в чате.
Подробнее

Курсы

Специализации Курсы в разработке Подготовительные курсы
+7 499 110-61-65

Безопасность приложений

Курс по практике обеспечения безопасности приложений для программистов, QA инженеров, пентестеров, DevOps специалистов
Подойдет ли мне этот курс?

Длительность

4 месяца

Начало

30 января

Занятия

Чт 20:00, Вт 20:00

Общая стоимость

44 000 ₽

В месяц

12 500 ₽

В кредит:

12500 ₽ в месяц

Хочу дешевле
Общая стоимость
44 000 ₽
В месяц: 12 500 ₽
В кредит: 44000 ₽
в месяц
Продолжительность
4 месяца, 4 академ. часа в неделю
Чт 20:00, Вт 20:00
Начало занятий
30 января
Что даст вам этот курс


  • Познакомит с основными уязвимостями веб-приложений, инструментами их поиска и методами их исправления
  • Научит основным этапам анализа защищенности приложений
  • Научит выполнять оценку защищенности программного продукта (методами "белого" и "черного" ящиков)
  • Научит методологии и практикам безопасной разработки



      Авторская программа от эксперта в области информационной безопасности


      Много практики на реальных кейсах


      Курс позволяет получить навыки поиска уязвимостей, которые пригодятся для подготовки к сертификациям OSCP, OSWE


      Выпускники курса могут стать Security Champion в своей организации (данная роль подразумевает, что разработчик знаком с практиками безопасной разработки)

(Не)безопасность приложений: охота за ошибками, 27 января в 20:00
Открытый урок посвящен описанию проблем, с которыми сталкиваются разработчики приложений, и угроз, которые несут с собой ошибки в коде. Мы рассмотрим основные цели данного курса и расскажем, как слушатели пройдут от путь от новичка до опытного охотника за ошибками.
Ведет
Денис
Макрушин
Предыдущий открытый вебинар
Преподаватель
Денис Макрушин
Руководитель группы безопасности приложений в IT-компании из списка Fortune 100, ex-vulnerability researcher подразделения GREAT "Лаборатории Касперского"
Денис обладает разносторонним опытом в области информационной безопасности. На позиции Руководителя группы безопасности приложений он отвечает за построение и реализацию стратегии безопасной разработки SaaS-продукта для крупнейшей IT-компании из списка Fortune 100.

Ранее, в составе Глобального центра исследований и анализа угроз Лаборатории Касперского, он занимался поиском уязвимостей и анализом защищенности перспективных технологий. На основе данного опыта он выступил в качестве основателя и менеджера продукта класса Threat Intelligence.

Являясь выпускником факультета Информационной Безопасности НИЯУ МИФИ, Денис продолжает проводить технические исследования и регулярно делится их результатами на ведущих международных конференциях, таких как Defcon, RSA Conference, Infosecurity и других закрытых мероприятиях.

Руководитель программы
Преподаватель
Денис Макрушин
Руководитель группы безопасности приложений в IT-компании из списка Fortune 100, ex-vulnerability researcher подразделения GREAT "Лаборатории Касперского"
Денис обладает разносторонним опытом в области информационной безопасности. На позиции Руководителя группы безопасности приложений он отвечает за построение и реализацию стратегии безопасной разработки SaaS-продукта для крупнейшей IT-компании из списка Fortune 100.

Ранее, в составе Глобального центра исследований и анализа угроз Лаборатории Касперского, он занимался поиском уязвимостей и анализом защищенности перспективных технологий. На основе данного опыта он выступил в качестве основателя и менеджера продукта класса Threat Intelligence.

Являясь выпускником факультета Информационной Безопасности НИЯУ МИФИ, Денис продолжает проводить технические исследования и регулярно делится их результатами на ведущих международных конференциях, таких как Defcon, RSA Conference, Infosecurity и других закрытых мероприятиях.

Руководитель программы
Необходимые знания
  • Базовые навыки разработки на любом языке программирования
  • Понимание основ работы современных веб-приложений (TCP/IP, HTTP)
  • Основы использования операционных систем Windows и *nix
    Процесс обучения
    Образовательный процесс на курсе "Безопасность приложений" проходит в формате вебинаров (онлайн). Слушателям предлагаются к выполнению домашние задания, которые позволят применить на практике полученные во время вебинаров знания. По каждому домашнему заданию преподаватель даёт развернутый фидбек. Преподаватель находится в едином коммуникационном пространстве с группой, т. е. слушатель может задавать преподавателю уточняющие вопросы по материалам лекций и домашних заданий.

    Интенсивность: 2 онлайн-вебинара в неделю по 2 академических часа каждый и от 2 до 4 академических часов на домашнюю работу.

    По окончании курса вы получите материалы по пройденным занятиям (видеозаписи курса, дoполнительные материалы, финальный проект для добавления в портфолио).
    Программа обучения
    Модуль 1
    Введение. Основы, которые пригодятся для прохождения курса
    Модуль 2
    Методология поиска уязвимостей и стандарты безопасной разработки
    Модуль 3
    Автоматизация анализа защищенности кода и приложений
    Модуль 4
    Проектная работа
    Введение. Основы, которые пригодятся для прохождения курса
    Тема 1: Знакомство со структурой курса и используемым программным обеспечением
    на занятии будут рассмотрены виды веб-приложений и основные подходы к их построению.
    30 января, 20:00 — 21:30
    Тема 2: Основы технологий, необходимые для понимания уязвимостей
    классификация уязвимостей веб-приложений. Способы эксплуатации.
    6 февраля, 20:00 — 21:30
    Домашние задания: 1
    1 ДЗ 1.1
    Цель: Поиск уязвимостей в тестовом приложении.
    Тема 3: Уязвимости клиентской стороны: Open Redirect, CSRF
    классификация уязвимостей веб-приложений. Способы эксплуатации.
    11 февраля, 20:00 — 21:30
    Тема 4: Уязвимости клиентской стороны: HTML Injection and Content Spoofing, Cross-Site Scripting
    классификация уязвимостей веб-приложений. Способы
    эксплуатации.
    13 февраля, 20:00 — 21:30
    Домашние задания: 1
    1 ДЗ 1.2
    Цель: Поиск уязвимостей в тестовом приложении.
    Тема 5: Уязвимости на стороне сервера: HTTP Parameter Pollution, CRLF Injection, SQL Injection, Template Injections
    18 февраля, 20:00 — 21:30
    Тема 6: Уязвимости на стороне сервера: Server- Side Request Forgery, XML External Entity, Subdomain Takeover
    классификация уязвимостей веб-приложений. Способы
    эксплуатации.
    20 февраля, 20:00 — 21:30
    Домашние задания: 1
    1 ДЗ 1.3
    Цель: Поиск уязвимостей в тестовом приложении.
    Тема 7: Server-Side Request Forgery, XML External Entity, Subdomain Takeover
    классификация уязвимостей веб-приложений. Способы
    эксплуатации.
    25 февраля, 20:00 — 21:30
    Тема 8: OAuth Vulnerabilities, Application Logic и уязвимости конфигурации
    классификация уязвимостей веб-приложений. Способы
    эксплуатации.
    27 февраля, 20:00 — 21:30
    Домашние задания: 1
    1 ДЗ 1.4
    Цель: Поиск уязвимостей в тестовом приложении.
    Методология поиска уязвимостей и стандарты безопасной разработки
    Тема 1: Методологии безопасной разработки (SSDL): обзор сравнение, практическое применения
    список фреймворков безопасной разработки и критерии их выбора
    3 марта, 20:00 — 21:30
    Домашние задания: 1
    1 ДЗ 2.1
    Цель: Сравнение методологий для тестовой организации, составление списка утилит для реализации требований выбранной методологии
    Тема 2: Утилиты для статического и динамического анализа защищенности: Часть 1
    обзор методов и утилит для реализации стадий атаки
    5 марта, 20:00 — 21:30
    Тема 3: Утилиты для статического и динамического анализа защищенности: Часть 2
    обзор методов и утилит для реализации стадий атаки
    10 марта, 20:00 — 21:30
    Домашние задания: 1
    1 ДЗ 2.2
    Цель: Поиск уязвимостей в тестовом приложении с использованием заданных инструментов
    Тема 4: Целенаправленная атака на инфраструктуру: утилиты для реализации полного цикла атаки
    обзор методов и утилит для реализации стадий атаки
    12 марта, 20:00 — 21:30
    Тема 5: Целенаправленная атака на инфраструктуру: утилиты для реализации полного цикла атаки
    обзор методов и утилит для реализации стадий атаки
    17 марта, 20:00 — 21:30
    Домашние задания: 1
    1 ДЗ 2.3
    Цель: Поиск уязвимостей в тестовом приложении с использованием заданных инструментов
    Тема 6: Целенаправленная атака на инфраструктуру: утилиты для реализации полного цикла атаки
    обзор методов и утилит для реализации стадий атаки
    19 марта, 20:00 — 21:30
    Тема 7: Методология анализа защищенности приложения
    ключевые этапы анализа защищенности и ожидаемые результаты
    24 марта, 20:00 — 21:30
    Домашние задания: 1
    1 ДЗ 2.4
    Цель: Поиск уязвимостей в тестовом приложении
    Тема 8: Методология анализа защищенности приложения
    ключевые этапы анализа защищенности и ожидаемые результаты
    26 марта, 20:00 — 21:30
    Автоматизация анализа защищенности кода и приложений
    Тема 1: Инфраструктура для анализа защищенности: основы контейнерных технологий и автоматизации
    исследование контейнерной инфраструктуры и инструментов для работой с ней
    7 апреля, 20:00 — 21:30
    Тема 2: Инфраструктура для анализа защищенности: основы контейнерных технологий и автоматизации
    исследование контейнерной инфраструктуры и инструментов для работой с ней
    9 апреля, 20:00 — 21:30
    Домашние задания: 1
    1 ДЗ 3.1
    Цель: Изучение документации, выбор стека технологий, разворчивание тестового стенда
    Тема 3: Построение процесса автоматизации анализа защищенности и обработка результатов
    обзор методов и утилит для реализации стадий атаки
    14 апреля, 20:00 — 21:30
    Тема 4: Построение процесса автоматизации анализа защищенности и обработка результатов
    обзор методов и утилит для реализации стадий атаки
    16 апреля, 20:00 — 21:30
    Домашние задания: 1
    1 ДЗ 3.2
    Цель: Поиск уязвимостей в тестовой инфраструктуре
    Тема 5: Поиск уязвимостей в инфраструктуре для запуска приложений
    классификация уязвимостей инфраструктуры. Способы эксплуатации.
    21 апреля, 20:00 — 21:30
    Тема 6: Поиск уязвимостей в инфраструктуре для запуска приложений
    классификация уязвимостей инфраструктуры. Способы эксплуатации.
    23 апреля, 20:00 — 21:30
    Домашние задания: 1
    1 ДЗ 3.3
    Цель: Поиск уязвимостей в тестовой инфраструктуре
    Тема 7: Анализ результатов исследований поиска уязвимостей
    разбор открытых и авторских исследований
    28 апреля, 20:00 — 21:30
    Тема 8: Анализ результатов исследований поиска уязвимостей
    разбор открытых и авторских исследований
    30 апреля, 20:00 — 21:30
    Проектная работа
    Тема 1: консультация по проектной работе
    7 мая, 20:00 — 21:30
    Домашние задания: 1
    1 Проектная работа
    Финальный проект будет представлять из себя разработку стратегии поиска уязвимостей в веб-приложениях, подбор утилит для автоматизации и обнаружение уязвимостей и ошибок в реальных проектах
    Тема 2: консультация по проектной работе
    14 мая, 20:00 — 21:30
    Тема 3: защита проектной работы
    28 мая, 20:00 — 21:30
    Выпускной проект
    Финальный проект будет представлять из себя разработку стратегии поиска уязвимостей в веб-приложениях, подбор утилит для автоматизации, и обнаружение уязвимостей и ошибок в реальных проектах.
    Прошедшие открытые вебинары по курсу
    Открытый вебинар — это настоящее занятие в режиме он-лайн с преподавателем курса, которое позволяет посмотреть, как проходит процесс обучения. В ходе занятия слушатели имеют возможность задать вопросы и получить знания по реальным практическим кейсам.
    (Не)безопасность приложений: охота за ошибками
    Денис Макрушин
    День открытых дверей
    20 декабря 2019 года в 20:00
    Для доступа к прошедшим мероприятиям необходимо пройти входное тестирование
    Возможность пройти вступительное тестирование повторно появится только через 2 недели
    Результаты тестирования будут отправлены вам на e-mail, указанный при регистрации.
    Тест рассчитан на 30 минут, после начала тестирования отложить тестирование не получится!
    Пройти вступительное тестирование
    После обучения вы

    • Будете иметь полное представление об уязвимостях веб-приложений и способах их эксплуатации как на стороне клиента, так и на стороне сервера
    • Будете разбираться в методологии безопасной разработки (фреймворки для безопасной разработки и критерии их выбора, ключевые этапы анализа защищенности)
    • Научитесь автоматизировать анализ защищенности и обработку результатов
    • Будете разбираться в утилитах и инфраструктуре для анализа защищенности
    • Будете разбираться в уязвимостях в инфраструктуре для запуска приложений и в способах их эксплуатации
    • Получите сертификат об окончании курса

    Дата выдачи сертификата: 27 июня 2020 года
    Ваш сертификат

    онлайн-образование

    Сертификат №0001

    Константин Константинопольский

    Успешно закончил курс «Безопасность приложений»
    Выполнено практических заданий: 16 из 16

    Общество с ограниченной ответственностью “Отус Онлайн-Образование”

    Город:
    Москва

    Генеральный директор ООО “Отус Онлайн-Образование”
    Виталий Чибриков

    Лицензия на осуществление образовательной деятельности
    № 039825 от 28 декабря 2018г.

    онлайн-образование

    Сертификат №0001

    Константин Константинопольский

    Успешно закончил курс «Безопасность приложений»
    Выполнено практических заданий: 16 из 16

    Общество с ограниченной ответственностью “Отус Онлайн-Образование”

    Город:
    Москва

    Генеральный директор ООО “Отус Онлайн-Образование”
    Виталий Чибриков

    Лицензия на осуществление образовательной деятельности
    № 039825 от 28 декабря 2018г.
    Общая стоимость
    44 000 ₽
    В месяц: 12 500 ₽
    В кредит: ₽ в месяц
    Продолжительность
    4 месяца
    Начало занятий
    30 января