Безопасность приложений | OTUS

Курсы

Курсы в разработке Подготовительные курсы
Работа в компаниях Компаниям Блог +7 499 110-61-65

Безопасность приложений

Курс по практике обеспечения безопасности приложений для программистов, QA инженеров, пентестеров, DevOps специалистов
Подойдет ли мне этот курс?

Длительность

4 месяца

Начало

26 декабря

Общая стоимость

44 000 ₽

В месяц

12 500 ₽

В кредит:

12500 ₽ в месяц

Хочу дешевле
Общая стоимость
44 000 ₽
В месяц: 12 500 ₽
В кредит: 44000 ₽
в месяц
Продолжительность
4 месяца, 4 академ. часа в неделю
Начало занятий
26 декабря
Что даст вам этот курс


  • Познакомит с основными уязвимостями веб-приложений, инструментами их поиска и методами их исправления
  • Научит основным этапам анализа защищенности приложений
  • Научит выполнять оценку защищенности программного продукта (методами "белого" и "черного" ящиков)
  • Научит методологии и практикам безопасной разработки



      Авторская программа от эксперта в области информационной безопасности


      Много практики на реальных кейсах


      Курс позволяет получить навыки поиска уязвимостей, которые пригодятся для подготовки к сертификациям OSCP, OSWE


      Выпускники курса могут стать Security Champion в своей организации (данная роль подразумевает, что разработчик знаком с практиками безопасной разработки)

Преподаватель
Денис Макрушин
Руководитель группы безопасности приложений в IT-компании из списка Fortune 100
Денис обладает разносторонним опытом в области информационной безопасности. На позиции Руководителя группы безопасности приложений он отвечает за построение и реализацию стратегии безопасной разработки SaaS-продукта для крупнейшей IT-компании из списка Fortune 100.

Ранее, в составе Глобального центра исследований и анализа угроз Лаборатории Касперского, он занимался поиском уязвимостей и анализом защищенности перспективных технологий. На основе данного опыта он выступил в качестве основателя и менеджера продукта класса Threat Intelligence.

Являясь выпускником факультета Информационной Безопасности НИЯУ МИФИ, Денис продолжает проводить технические исследования и регулярно делится их результатами на ведущих международных конференциях, таких как Defcon, RSA Conference, Infosecurity и других закрытых мероприятиях.

Руководитель программы
Преподаватель
Денис Макрушин
Руководитель группы безопасности приложений в IT-компании из списка Fortune 100
Денис обладает разносторонним опытом в области информационной безопасности. На позиции Руководителя группы безопасности приложений он отвечает за построение и реализацию стратегии безопасной разработки SaaS-продукта для крупнейшей IT-компании из списка Fortune 100.

Ранее, в составе Глобального центра исследований и анализа угроз Лаборатории Касперского, он занимался поиском уязвимостей и анализом защищенности перспективных технологий. На основе данного опыта он выступил в качестве основателя и менеджера продукта класса Threat Intelligence.

Являясь выпускником факультета Информационной Безопасности НИЯУ МИФИ, Денис продолжает проводить технические исследования и регулярно делится их результатами на ведущих международных конференциях, таких как Defcon, RSA Conference, Infosecurity и других закрытых мероприятиях.

Руководитель программы
Необходимые знания
  • Базовые навыки разработки на любом языке программирования
  • Понимание основ работы современных веб-приложений (TCP/IP, HTTP)
  • Основы использования операционных систем Windows и *nix
    Процесс обучения
    Образовательный процесс на курсе "Безопасность приложений" проходит в формате вебинаров (онлайн). Слушателям предлагаются к выполнению домашние задания, которые позволят применить на практике полученные во время вебинаров знания. По каждому домашнему заданию преподаватель даёт развернутый фидбек. Преподаватель находится в едином коммуникационном пространстве с группой, т. е. слушатель может задавать преподавателю уточняющие вопросы по материалам лекций и домашних заданий.

    Интенсивность: 2 онлайн-вебинара в неделю по 2 академических часа каждый и от 2 до 4 академических часов на домашнюю работу.

    По окончании курса вы получите материалы по пройденным занятиям (видеозаписи курса, дoполнительные материалы, финальный проект для добавления в портфолио).
    Программа обучения
    Модуль 1
    Введение. Основы, которые пригодятся для прохождения курса
    Модуль 2
    Методология поиска уязвимостей и стандарты безопасной разработки
    Модуль 3
    Автоматизация анализа защищенности кода и приложений
    Модуль 4
    Проектная работа
    Введение. Основы, которые пригодятся для прохождения курса
    Тема 1: Знакомство со структурой курса и используемым программным обеспечением
    на занятии будут рассмотрены виды веб-приложений и основные подходы к их построению.
    Тема 2: Основы технологий, необходимые для понимания уязвимостей
    классификация уязвимостей веб-приложений. Способы эксплуатации.
    Домашние задания: 1
    1 ДЗ 1.1
    Цель: Поиск уязвимостей в тестовом приложении.
    Тема 3: Уязвимости клиентской стороны: Open Redirect, CSRF
    классификация уязвимостей веб-приложений. Способы эксплуатации.
    Тема 4: Уязвимости клиентской стороны: HTML Injection and Content Spoofing, Cross-Site Scripting
    классификация уязвимостей веб-приложений. Способы
    эксплуатации.
    Домашние задания: 1
    1 ДЗ 1.2
    Цель: Поиск уязвимостей в тестовом приложении.
    Тема 5: Уязвимости на стороне сервера: HTTP Parameter Pollution, CRLF Injection, SQL Injection, Template Injections
    Тема 6: Уязвимости на стороне сервера: Server- Side Request Forgery, XML External Entity, Subdomain Takeover
    классификация уязвимостей веб-приложений. Способы
    эксплуатации.
    Домашние задания: 1
    1 ДЗ 1.3
    Цель: Поиск уязвимостей в тестовом приложении.
    Тема 7: Server-Side Request Forgery, XML External Entity, Subdomain Takeover
    классификация уязвимостей веб-приложений. Способы
    эксплуатации.
    Тема 8: OAuth Vulnerabilities, Application Logic и уязвимости конфигурации
    классификация уязвимостей веб-приложений. Способы
    эксплуатации.
    Домашние задания: 1
    1 ДЗ 1.4
    Цель: Поиск уязвимостей в тестовом приложении.
    Методология поиска уязвимостей и стандарты безопасной разработки
    Тема 1: Методологии безопасной разработки (SSDL): обзор сравнение, практическое применения
    список фреймворков безопасной разработки и критерии их выбора
    Домашние задания: 1
    1 ДЗ 2.1
    Цель: Сравнение методологий для тестовой организации, составление списка утилит для реализации требований выбранной методологии
    Тема 2: Утилиты для статического и динамического анализа защищенности: Часть 1
    обзор методов и утилит для реализации стадий атаки
    Тема 3: Утилиты для статического и динамического анализа защищенности: Часть 2
    обзор методов и утилит для реализации стадий атаки
    Домашние задания: 1
    1 ДЗ 2.2
    Цель: Поиск уязвимостей в тестовом приложении с использованием заданных инструментов
    Тема 4: Целенаправленная атака на инфраструктуру: утилиты для реализации полного цикла атаки
    обзор методов и утилит для реализации стадий атаки
    Тема 5: Целенаправленная атака на инфраструктуру: утилиты для реализации полного цикла атаки
    обзор методов и утилит для реализации стадий атаки
    Домашние задания: 1
    1 ДЗ 2.3
    Цель: Поиск уязвимостей в тестовом приложении с использованием заданных инструментов
    Тема 6: Целенаправленная атака на инфраструктуру: утилиты для реализации полного цикла атаки
    обзор методов и утилит для реализации стадий атаки
    Тема 7: Методология анализа защищенности приложения
    ключевые этапы анализа защищенности и ожидаемые результаты
    Домашние задания: 1
    1 ДЗ 2.4
    Цель: Поиск уязвимостей в тестовом приложении
    Тема 8: Методология анализа защищенности приложения
    ключевые этапы анализа защищенности и ожидаемые результаты
    Автоматизация анализа защищенности кода и приложений
    Тема 1: Инфраструктура для анализа защищенности: основы контейнерных технологий и автоматизации
    исследование контейнерной инфраструктуры и инструментов для работой с ней
    Тема 2: Инфраструктура для анализа защищенности: основы контейнерных технологий и автоматизации
    исследование контейнерной инфраструктуры и инструментов для работой с ней
    Домашние задания: 1
    1 ДЗ 3.1
    Цель: Изучение документации, выбор стека технологий, разворчивание тестового стенда
    Тема 3: Построение процесса автоматизации анализа защищенности и обработка результатов
    обзор методов и утилит для реализации стадий атаки
    Тема 4: Построение процесса автоматизации анализа защищенности и обработка результатов
    обзор методов и утилит для реализации стадий атаки
    Домашние задания: 1
    1 ДЗ 3.2
    Цель: Поиск уязвимостей в тестовой инфраструктуре
    Тема 5: Поиск уязвимостей в инфраструктуре для запуска приложений
    классификация уязвимостей инфраструктуры. Способы эксплуатации.
    Тема 6: Поиск уязвимостей в инфраструктуре для запуска приложений
    классификация уязвимостей инфраструктуры. Способы эксплуатации.
    Домашние задания: 1
    1 ДЗ 3.3
    Цель: Поиск уязвимостей в тестовой инфраструктуре
    Тема 7: Анализ результатов исследований поиска уязвимостей
    разбор открытых и авторских исследований
    Тема 8: Анализ результатов исследований поиска уязвимостей
    разбор открытых и авторских исследований
    Проектная работа
    Тема 1: консультация по проектной работе
    Домашние задания: 1
    1 Проектная работа
    Финальный проект будет представлять из себя разработку стратегии поиска уязвимостей в веб-приложениях, подбор утилит для автоматизации и обнаружение уязвимостей и ошибок в реальных проектах
    Тема 2: консультация по проектной работе
    Тема 3: защита проектной работы
    Выпускной проект
    Финальный проект будет представлять из себя разработку стратегии поиска уязвимостей в веб-приложениях, подбор утилит для автоматизации, и обнаружение уязвимостей и ошибок в реальных проектах.
    После обучения вы

    • Будете иметь полное представление об уязвимостях веб-приложений и способах их эксплуатации как на стороне клиента, так и на стороне сервера
    • Будете разбираться в методологии безопасной разработки (фреймворки для безопасной разработки и критерии их выбора, ключевые этапы анализа защищенности)
    • Научитесь автоматизировать анализ защищенности и обработку результатов
    • Будете разбираться в утилитах и инфраструктуре для анализа защищенности
    • Будете разбираться в уязвимостях в инфраструктуре для запуска приложений и в способах их эксплуатации
    • Получите сертификат об окончании курса

    Дата выдачи сертификата: 24 мая 2020 года
    Ваш сертификат

    онлайн-образование

    Сертификат №0001

    Константин Константинопольский

    Успешно закончил курс «Безопасность приложений»
    Выполнено практических заданий: 16 из 16

    Общество с ограниченной ответственностью “Отус Онлайн-Образование”

    Город:
    Москва

    Генеральный директор ООО “Отус Онлайн-Образование”
    Виталий Чибриков

    Лицензия на осуществление образовательной деятельности
    № 039825 от 28 декабря 2018г.

    онлайн-образование

    Сертификат №0001

    Константин Константинопольский

    Успешно закончил курс «Безопасность приложений»
    Выполнено практических заданий: 16 из 16

    Общество с ограниченной ответственностью “Отус Онлайн-Образование”

    Город:
    Москва

    Генеральный директор ООО “Отус Онлайн-Образование”
    Виталий Чибриков

    Лицензия на осуществление образовательной деятельности
    № 039825 от 28 декабря 2018г.
    Общая стоимость
    44 000 ₽
    В месяц: 12 500 ₽
    В кредит: ₽ в месяц
    Продолжительность
    4 месяца
    Начало занятий
    26 декабря