⚡ Подписка на курсы OTUS!
Интенсивная прокачка навыков для IT-специалистов!

Подробнее

help@otus.ru +7 499 938-92-02

Рекрутерам Отзывы FAQ OTUS JOURNAL Контакты

+7 499 938-92-02

Безопасность веб-приложений

Освойте на практике поиск и устранение уязвимостей, чтобы создавать надежные веб-приложения

Длительность обучения:

3 месяца

4 ак. часа в нед.

Формат:

Online

Что даст вам этот курс

Вы поймете, как и почему возникают уязвимости в разных составляющих вашего веб-приложения: фронтенде, на сервере и в API. Вы сможете распознавать их в коде и устранять, оценивать безопасность проекта по методологии OWASP.

Для кого этот курс?

Навыки актуальны для всех специалистов, разрабатывающих и поддерживающих веб-проект: программистов, администраторов, DevOps-ов и специалистов ИБ. Для обучения достаточно уверенно владеть любым языком программирования.

Вы научитесь

Искать уязвимости в коде вручную и автоматизированно;
Внедрять практики безопасной разработки (Secure SDLC);
Выявлять уязвимости белым и черным ящиком;
Эксплуатировать уязвимости OWASP Top-10.

Как организована практика?

Вы сможете самостоятельно попробовать эксплуатировать уязвимости, чтобы на личном опыте увидеть возможные последствия.

Вот лишь несколько примеров:

Захватить браузер пользователя чужого веб-приложения.
Получить доступ к базе данных, эксплуатируя SQL-инъекции.
Выполнить действие от имени администратора, не владея его учеткой.
Вставить дополнительный нелегитимный контент в страницу.

Каждую изученную уязвимость вы потренируетесь устранять на коде реальных сайтов или запуская приложение на виртуальной машине.

В конце обучения вас ждет проектный модуль, где вы проведете полный цикл анализа защищенности веб-приложения. Его можно выполнить на своем рабочем проекте, или на учебном. От вас потребуется найти уязвимости в сайте, предоставить части кода, которые их содержат, и предложить изменения.

Старт нового потока курсу - по мере набора группы.

Преподаватели

Павел Пархомец

eJPT, OSCP, eWPT | Penetration Tester в Awillix

Выпускник направления безопасности компьютерный систем (Информационная безопасноть 10.03.01) НИЯУ МИФИ, имею победы в международных конкурсах по кибербезопасности, например HITB AI Challenge, Kasperky SecurIT Cup, призер отраслевых чемпионатов по кибербезопасности. Имею такие международные сертификации, как eJPT и OSCP.

Павел
Пархомец

Александр
Мелких

Сергей
Гоппиков

Александр
Колесников

Преподаватели

Павел Пархомец

eJPT, OSCP, eWPT | Penetration Tester в Awillix

Александр Мелких

Яндекс

В данный момент работаю в службе информационной безопасности Яндекса: проверяю различные веб/мобильные-приложения на безопасность, консультирую разработчиков, продумываю новые security-фичи и дизайн, пишу код.

До этого занимался пентестом АСУТП/SCADA/IoT: ездил по различным заводам и останавливал технологические процессы :)

Сергей Гоппиков

Backend Lead, Alyce.com (Boston, MA)

Программирую и увлекаюсь IT более 20 лет, с 14 лет.

Профессиональный опыт:
- 5 лет опыт построения комьютерных сетей и информационных систем на базе MS, сертификация MCSA
- 8 лет программирования на Python, JavaScript, PHP, Kotlin.
последние 5 лет, кроме написания кода занимаюсь архитектурой, внедрением практик DevOps и оптимизацией инфраструктуры.

Прошел путь от fullstack до руководителя и руководил отделом разработки хостинга и регистратора доменных имен Beget.com (парк 500+ серверов),
участововал в разработке и выполнял роль архитектора в различных стартапах.
В качестве OpenSource проекта запускал при поддержке компании проект облачного файл-менеджера sprut.io.

В данный момент являюсь руководителем backend команды и разрабатываю архитектуру для гео-распределенного стартапа, объединяю внутренние разработки и облачные сервисы AWS, GCP и адаптирую инфраструктуру к непрерывному росту.

Александр Колесников

Вирусный аналитик в международной компании

Специалист по комплексной защите объектов информатизации с большим опытом в реверс-инжиниринге, исследовании вредоносного кода и анализе уязвимостей.

Сертификаты: BEC II Advanced (2013), CEH (2016)

Навыки:
Анализ вредоносного ПО
Реверс-инжиниринг
Обнаружение уязвимостей
Форензика
Разработка под iOS и Android
Системное программирование
Анализ сетевого трафика

Отзывы

Yuri
Katz

курс для меня был непростой,но открыл целый мир о существовании которого только догадывался,я познакомился с инструментами,которыйе моментально вошли в ежедневное использование, в моей профессиональной деятельности также ознакомился с существующими инструментами позволяющими далее повышать профессионализм в данной области.

спасибо всем преподавателям,особенно Александру Мелких и Павелу Пархомец

Yuri
Katz

Минимальные требования

Основы HTML и CSS;

Иметь опыт разработки бэкенда сайта на одном из языков: Python, PHP, Java, C# или JS (Node.JS);

Понимание работы HTTP;

Понимать основы разработки веб-приложений.

Корпоративное обучение для ваших сотрудников

Подробнее

Программа обучения

В процессе обучения вы получите комплексные знания и навыки.

Модуль 1 Введение

Тема 1. Знакомство со структурой курса и используемым программным обеспечением

Тема 2. Основы технологий, необходимые для понимания уязвимостей. Классификация OWASP top 10

Модуль 2 Уязвимости клиентской стороны

Тема 3. Уязвимости класса: Open Redirect, CSRF

Тема 4. Уязвимости класса: HTML Injection, Content Spoofing, Cross-Site Scripting

Модуль 3 Уязвимости на стороне сервера

Тема 5. Уязвимсоти класса: ServerSide Request Forgery, Subdomain Takeover

Тема 6. Уязвимости OAuth2, HTTP Response Splitting, CRLF Injection,

Тема 7. Уязвимости класса: HTTP Parameter Pollution, SQL Injection, Template Injections

Тема 8. Уязвимости класса: XXE

Модуль 4 Методология поиска уязвимостей и стандарты безопасной разработки

Тема 9. Методологии безопасной разработки (SSDL): обзор сравнение, практическое применения

Тема 10. Утилиты для статического и динамического анализа защищенности веб-приложений: DAST/SAST/IAST

Тема 11. Утилиты для статического и динамического анализа защищенности: Fuzzing

Тема 12. Анализ защищенности веб-приложения: TTP. Часть 1: сбор информации о веб-приложении и его компонентах

Тема 13. Анализ защищенности веб-приложения: TTP. Часть 2: эксплуатация и репортинг

Тема 14. Целенаправленная атака на инфраструктуру: утилиты для реализации полного цикла атаки

Тема 15. Методологии анализа защищенности OWASP

Тема 16. Автоматизация анализа защищенности веб-приложений

Модуль 5 Проектный модуль

Тема 17. Выбор темы и организация проектной работы

Тема 18. Консультация по проектам и домашним заданиям

Тема 19. Защита проектных работ

Процесс обучения

Обучение на курсе "Безопасность веб-приложений" проходит в формате онлайн вебинаров. Слушателям предлагаются к выполнению домашние задания, которые позволят применить на практике полученные во время вебинаров знания. По каждому домашнему заданию преподаватель даёт развернутый фидбек. Преподаватель находится в едином коммуникационном пространстве с группой, т. е. слушатель может задавать преподавателю уточняющие вопросы по материалам лекций и домашних заданий.

Интенсивность: 2 онлайн-вебинара в неделю по 2 академических часа каждый, раз в 2 недели предлагается домашнее задание.

Получить консультацию

Наш специалист свяжется с вами в ближайшее время. Если у вас возникли трудности в выборе курса или проблемы технического плана, то мы с радостью поможем вам.

После обучения вы

заберете с собой полный комплект обучающих материалов: видеозаписи всех вебинаров, презентации к занятиям, а также решение задач и проектов в виде кода на github и другие дополнительные материалы;

получите сертификат о прохождении курса;

научитесь выявлять и устранять уязвимости веб-приложений;

получите приглашение пройти собеседование в компаниях-партнерах (эту возможность получают самые успешные студенты).

Дата выдачи сертификата: 5 августа 2021 года

Ваш сертификат

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Безопасность веб-приложений»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Город:
Москва

Генеральный директор ООО “Отус Онлайн-Образование”
Виталий Чибриков

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Безопасность веб-приложений»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Город:
Москва

Генеральный директор ООО “Отус Онлайн-Образование”
Виталий Чибриков

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.

Прошедшие открытые вебинары

Открытый вебинар — это настоящее занятие в режиме он-лайн с преподавателем курса, которое позволяет посмотреть, как проходит процесс обучения. В ходе занятия слушатели имеют возможность задать вопросы и получить знания по реальным практическим кейсам.

Павел Пархомец

17 ноября 2020 года в 20:00

Для доступа к прошедшим мероприятиям необходимо пройти входное тестирование

Возможность пройти вступительное тестирование повторно появится только через 2 недели

Результаты тестирования будут отправлены вам на e-mail, указанный при регистрации.

Тест рассчитан на 30 минут, после начала тестирования отложить тестирование не получится!