Безопасность веб-приложений | OTUS
🔥 Начинаем BLACK FRIDAY!
Максимальная скидка -25% на всё. Успейте начать обучение по самой выгодной цене.
Выбрать курс

Курсы

Программирование
iOS Developer. Basic
-25%
Python Developer. Professional
-25%
Разработчик на Spring Framework
-25%
Golang Developer. Professional
-25%
Python Developer. Basic
-25%
iOS Developer. Professional
-25%
Highload Architect
-25%
JavaScript Developer. Basic
-25%
Kotlin Backend Developer
-25%
JavaScript Developer. Professional
-25%
Android Developer. Basic
-25%
Unity Game Developer. Basic
-25%
Разработчик C#
-25%
Программист С Web-разработчик на Python Алгоритмы и структуры данных Framework Laravel PostgreSQL Reverse-Engineering. Professional CI/CD Vue.js разработчик VOIP инженер Программист 1С Flutter Mobile Developer Супер - интенсив по Kubernetes Symfony Framework Advanced Fullstack JavaScript developer Супер-интенсив "Azure для разработчиков"
Инфраструктура
Мониторинг и логирование: Zabbix, Prometheus, ELK
-25%
DevOps практики и инструменты
-25%
Архитектор сетей
-25%
Инфраструктурная платформа на основе Kubernetes
-25%
Супер-интенсив «ELK»
-16%
Супер-интенсив «IaC Ansible»
-16%
Супер-интенсив "SQL для анализа данных"
-16%
Базы данных Сетевой инженер AWS для разработчиков Cloud Solution Architecture Разработчик голосовых ассистентов и чат-ботов Внедрение и работа в DevSecOps Администратор Linux. Виртуализация и кластеризация Нереляционные базы данных Супер-практикум по использованию и настройке GIT IoT-разработчик Супер-интенсив «СУБД в высоконагруженных системах»
Специализации Курсы в разработке Подготовительные курсы
+7 499 938-92-02
Специальная цена
Специальная цена

Безопасность веб-приложений

Освойте на практике поиск и устранение уязвимостей, чтобы создавать надежные веб-приложения

Длительность обучения:

Формат:

Начало занятий:

Дни занятий:

3 месяца

4 ак. часа в нед.

Online

30 ноября

Пн 20:00, Чт 20:00

Что даст вам этот курс

Вы поймете, как и почему возникают уязвимости в разных составляющих вашего веб-приложения: фронтенде, на сервере и в API. Вы сможете распознавать их в коде и устранять, оценивать безопасность проекта по методологии OWASP.

Для кого этот курс?


Навыки актуальны для всех специалистов, разрабатывающих и поддерживающих веб-проект: программистов, администраторов, DevOps-ов и специалистов ИБ. Для обучения достаточно уверенно владеть любым языком программирования.

Вы научитесь


  • Искать уязвимости в коде вручную и автоматизированно;

  • Внедрять практики безопасной разработки (Secure SDLC);

  • Выявлять уязвимости белым и черным ящиком;

  • Эксплуатировать уязвимости OWASP Top-10.

Как организована практика?


Вы сможете самостоятельно попробовать эксплуатировать уязвимости, чтобы на личном опыте увидеть возможные последствия.

Вот лишь несколько примеров:
  • Захватить браузер пользователя чужого веб-приложения.

  • Получить доступ к базе данных, эксплуатируя SQL-инъекции.

  • Выполнить действие от имени администратора, не владея его учеткой.

  • Вставить дополнительный нелегитимный контент в страницу.

Каждую изученную уязвимость вы потренируетесь устранять на коде реальных сайтов или запуская приложение на виртуальной машине.

В конце обучения вас ждет проектный модуль, где вы проведете полный цикл анализа защищенности веб-приложения. Его можно выполнить на своем рабочем проекте, или на учебном. От вас потребуется найти уязвимости в сайте, предоставить части кода, которые их содержат, и предложить изменения.

Преподаватели

Павел Пархомец
eJPT, OSCP, eWPT | Penetration Tester в Awillix
Александр Мелких
Яндекс
Алексей Павлов
Сергей Гоппиков
Backend Lead, Alyce.com (Boston, MA)
Александр Колесников
Вирусный аналитик в международной компании
Выпускник направления безопасности компьютерный систем (Информационная безопасноть 10.03.01) НИЯУ МИФИ, имею победы в международных конкурсах по кибербезопасности, например HITB AI Challenge, Kasperky SecurIT Cup, призер отраслевых чемпионатов по кибербезопасности. Имею такие международные сертификации, как eJPT и OSCP.

Руководитель программы
В данный момент работаю в службе информационной безопасности Яндекса: проверяю различные веб/мобильные-приложения на безопасность, консультирую разработчиков, продумываю новые security-фичи и дизайн, пишу код.

До этого занимался пентестом АСУТП/SCADA/IoT: ездил по различным заводам и останавливал технологические процессы :)

Преподаватель
Специалист по защите информации с опытом работы в области построения систем защиты информации, оценке защищенности информационных систем, аудита защищенности и защите конфиденциальной информации более 15 лет.
С 2004 года занимается всеми аспектами информационной безопасности: от разведки (OSINT) до построения с систем защиты информации с нуля в государственных органах и коммерческих компаниях.

Навыки:
— аудит защищенности веб-приложений,
— аудит защищенности информационных систем,
— OSINT,
— построение систем защищты информации.

Преподаватель
Программирую и увлекаюсь IT более 20 лет, с 14 лет.

Профессиональный опыт:
- 5 лет опыт построения комьютерных сетей и информационных систем на базе MS, сертификация MCSA
- 8 лет программирования на Python, JavaScript, PHP, Kotlin.
последние 5 лет, кроме написания кода занимаюсь архитектурой, внедрением практик DevOps и оптимизацией инфраструктуры.

Прошел путь от fullstack до руководителя и руководил отделом разработки хостинга и регистратора доменных имен Beget.com (парк 500+ серверов),
участововал в разработке и выполнял роль архитектора в различных стартапах.
В качестве OpenSource проекта запускал при поддержке компании проект облачного файл-менеджера sprut.io.

В данный момент являюсь руководителем backend команды и разрабатываю архитектуру для гео-распределенного стартапа, объединяю внутренние разработки и облачные сервисы AWS, GCP и адаптирую инфраструктуру к непрерывному росту.

Преподаватель
Специалист по комплексной защите объектов информатизации с большим опытом в реверс-инжиниринге, исследовании вредоносного кода и анализе уязвимостей.

Сертификаты: BEC II Advanced (2013), CEH (2016)

Навыки:
Анализ вредоносного ПО
Реверс-инжиниринг
Обнаружение уязвимостей
Форензика
Разработка под iOS и Android
Системное программирование
Анализ сетевого трафика

Преподаватель
Павел
Пархомец
Александр
Мелких
Алексей
Павлов
Сергей
Гоппиков
Александр
Колесников

Преподаватели

Павел Пархомец
eJPT, OSCP, eWPT | Penetration Tester в Awillix
Выпускник направления безопасности компьютерный систем (Информационная безопасноть 10.03.01) НИЯУ МИФИ, имею победы в международных конкурсах по кибербезопасности, например HITB AI Challenge, Kasperky SecurIT Cup, призер отраслевых чемпионатов по кибербезопасности. Имею такие международные сертификации, как eJPT и OSCP.

Руководитель программы
Александр Мелких
Яндекс
В данный момент работаю в службе информационной безопасности Яндекса: проверяю различные веб/мобильные-приложения на безопасность, консультирую разработчиков, продумываю новые security-фичи и дизайн, пишу код.

До этого занимался пентестом АСУТП/SCADA/IoT: ездил по различным заводам и останавливал технологические процессы :)

Преподаватель
Алексей Павлов
Специалист по защите информации с опытом работы в области построения систем защиты информации, оценке защищенности информационных систем, аудита защищенности и защите конфиденциальной информации более 15 лет.
С 2004 года занимается всеми аспектами информационной безопасности: от разведки (OSINT) до построения с систем защиты информации с нуля в государственных органах и коммерческих компаниях.

Навыки:
— аудит защищенности веб-приложений,
— аудит защищенности информационных систем,
— OSINT,
— построение систем защищты информации.

Преподаватель
Сергей Гоппиков
Backend Lead, Alyce.com (Boston, MA)
Программирую и увлекаюсь IT более 20 лет, с 14 лет.

Профессиональный опыт:
- 5 лет опыт построения комьютерных сетей и информационных систем на базе MS, сертификация MCSA
- 8 лет программирования на Python, JavaScript, PHP, Kotlin.
последние 5 лет, кроме написания кода занимаюсь архитектурой, внедрением практик DevOps и оптимизацией инфраструктуры.

Прошел путь от fullstack до руководителя и руководил отделом разработки хостинга и регистратора доменных имен Beget.com (парк 500+ серверов),
участововал в разработке и выполнял роль архитектора в различных стартапах.
В качестве OpenSource проекта запускал при поддержке компании проект облачного файл-менеджера sprut.io.

В данный момент являюсь руководителем backend команды и разрабатываю архитектуру для гео-распределенного стартапа, объединяю внутренние разработки и облачные сервисы AWS, GCP и адаптирую инфраструктуру к непрерывному росту.

Преподаватель
Александр Колесников
Вирусный аналитик в международной компании
Специалист по комплексной защите объектов информатизации с большим опытом в реверс-инжиниринге, исследовании вредоносного кода и анализе уязвимостей.

Сертификаты: BEC II Advanced (2013), CEH (2016)

Навыки:
Анализ вредоносного ПО
Реверс-инжиниринг
Обнаружение уязвимостей
Форензика
Разработка под iOS и Android
Системное программирование
Анализ сетевого трафика

Преподаватель
Необходимые знания
Минимальные требования
  • Основы HTML и CSS;
    • Иметь опыт разработки бэкенда сайта на одном из языков: Python, PHP, Java, C# или JS (Node.JS);
      • Понимание работы HTTP;
        • Понимать основы разработки веб-приложений.
Программа обучения
В процессе обучения вы получите комплексные знания и навыки.
C 30 ноября
Тема 1. Знакомство со структурой курса и используемым программным обеспечением
Тема 2. Основы технологий, необходимые для понимания уязвимостей. Классификация OWASP top 10
C 14 декабря
Тема 3. Уязвимости класса: Open Redirect, CSRF
Тема 4. Уязвимости класса: HTML Injection, Content Spoofing, Cross-Site Scripting
C 21 декабря
Тема 5. Уязвимсоти класса: ServerSide Request Forgery, Subdomain Takeover
Тема 6. Уязвимости OAuth2, HTTP Response Splitting, CRLF Injection,
Тема 7. Уязвимости класса: HTTP Parameter Pollution, SQL Injection, Template Injections
Тема 8. Уязвимости класса: XXE
C 11 января
Тема 9. Методологии безопасной разработки (SSDL): обзор сравнение, практическое применения
Тема 10. Утилиты для статического и динамического анализа защищенности веб-приложений: DAST/SAST/IAST
Тема 11. Утилиты для статического и динамического анализа защищенности: Fuzzing
Тема 12. Анализ защищенности веб-приложения: TTP. Часть 1: сбор информации о веб-приложении и его компонентах
Тема 13. Анализ защищенности веб-приложения: TTP. Часть 2: эксплуатация и репортинг
Тема 14. Целенаправленная атака на инфраструктуру: утилиты для реализации полного цикла атаки
Тема 15. Методологии анализа защищенности OWASP
Тема 16. Автоматизация анализа защищенности веб-приложений
C 8 февраля
Тема 17. Выбор темы и организация проектной работы
Тема 18. Консультация по проектам и домашним заданиям
Тема 19. Защита проектных работ
Скачать подробную программу
Процесс обучения
Обучение на курсе "Безопасность веб-приложений" проходит в формате онлайн вебинаров. Слушателям предлагаются к выполнению домашние задания, которые позволят применить на практике полученные во время вебинаров знания. По каждому домашнему заданию преподаватель даёт развернутый фидбек. Преподаватель находится в едином коммуникационном пространстве с группой, т. е. слушатель может задавать преподавателю уточняющие вопросы по материалам лекций и домашних заданий.

Интенсивность: 2 онлайн-вебинара в неделю по 2 академических часа каждый, раз в 2 недели предлагается домашнее задание.
Получить консультацию
Наш специалист свяжется с вами в ближайшее время. Если у вас возникли трудности в выборе курса или проблемы технического плана, то мы с радостью поможем вам.
Спасибо!
Мы получили Вашу заявку, в ближайшее время с Вами свяжется наш менеджер.
После обучения вы

  • заберете с собой полный комплект обучающих материалов: видеозаписи всех вебинаров, презентации к занятиям, а также решение задач и проектов в виде кода на github и другие дополнительные материалы;

  • получите сертификат о прохождении курса;

  • научитесь выявлять и устранять уязвимости веб-приложений;

  • получите приглашение пройти собеседование в компаниях-партнерах (эту возможность получают самые успешные студенты).

Дата выдачи сертификата: 21 марта 2021 года
Ваш сертификат

онлайн-образование

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Безопасность веб-приложений»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Город:
Москва

Генеральный директор ООО “Отус Онлайн-Образование”
Виталий Чибриков

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.

онлайн-образование

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Безопасность веб-приложений»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Город:
Москва

Генеральный директор ООО “Отус Онлайн-Образование”
Виталий Чибриков

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.
Прошедшие открытые вебинары
Открытый вебинар — это настоящее занятие в режиме он-лайн с преподавателем курса, которое позволяет посмотреть, как проходит процесс обучения. В ходе занятия слушатели имеют возможность задать вопросы и получить знания по реальным практическим кейсам.
Основы технологий, необходимые для понимания уязвимостей. Классификация OWASP TOP 10
Павел Пархомец
День открытых дверей
17 ноября в 20:00
Для доступа к прошедшим мероприятиям необходимо пройти входное тестирование
Возможность пройти вступительное тестирование повторно появится только через 2 недели
Результаты тестирования будут отправлены вам на e-mail, указанный при регистрации.
Тест рассчитан на 30 минут, после начала тестирования отложить тестирование не получится!
Стоимость обучения
41 250 ₽
55 000 ₽
Продолжительность
3 месяца
Начало занятий
30 ноября
🎁 Максимальная скидка!
Черная пятница уже в OTUS! Скидка -25% на всё!