Анализ защищенности веб-приложений и веб-сервисов. Занятие 3

Cлужба кибербезопасности Сбербанка приглашает вас посетить цикл мероприятий и узнать от ведущих экспертов, как на практике применяется теория (https://sberbank-talents.ru/Info/cy...)

Курс состоит из трех занятий и включает в себя:

• анализ архитектуры приложения;
• выявление уязвимостей реализации методом «белого ящика»: анализ исходного кода на различных языках программирования (статический анализ);
• выявление уязвимостей конфигурации и реализации методами «черного ящика»: ручной анализ работающего приложения, фаззинг-тестирование (динамический анализ);
• способы эксплуатации уязвимостей для развития различных векторов атак;
• методы обхода механизмов защиты приложений от атак;
• лучшие практики по устранению и недопущению повторного возникновения уязвимостей;
• использование средств автоматизации для целей анализа защищенности приложений.

Даты проведения: 24.09.2016, 08.10.2016, 22.10.2016.

Содержание:

Занятие №1:

• основные архитектурные паттерны веб-приложений и веб-служб;
• стандарты проведения тестирования на проникновение;
• методики проведения тестирования на проникновение веб-приложений;
• уязвимости типа injection (OWASP A1, A3, A10), их типы. Причины возникновения и способы обнаружения (черный ящик — OWASP Testing Guide, белый ящик – ручной анализ кода);
• способы и особенности эксплуатации уязвимостей с учетом особенностей окружения (типы ПО, особенности настройки), цели эксплуатации;
• средства автоматизированного поиска и эксплуатации уязвимостей;
• средства защиты и методы их обхода.

Занятие №2:

• уязвимости, связанные с некорректной реализацией или конфигурацией механизмов аутентификации и авторизации доступа (OWASP A2, A4, A6, A7, A8), причины возникновения и способы обнаружения (черный ящик — OWASP Testing Guide, белый ящик – ручной анализ кода);
• способы и особенности эксплуатации уязвимостей с учетом особенностей окружения (типы ПО, особенности настройки), цели эксплуатации;
• средства автоматизированного поиска и эксплуатации уязвимостей;
• средства защиты и методы их обхода.

Занятие №3:

• уязвимости, связанные с некорректной настройкой окружения, использованием уязвимых компонентов (OWASP A5, A9), причины возникновения и способы обнаружения (черный ящик — OWASP Testing Guide, белый ящик – ручной анализ кода);
• способы и особенности эксплуатации уязвимостей с учетом особенностей окружения (типы ПО, особенности настройки), цели эксплуатации;
• средства автоматизированного поиска и эксплуатации уязвимостей;
• средства защиты и методы их обхода.

Длительность: 12 часов

Рекомендуемый уровень подготовки: 4-6 год обучения.

Требования к участникам: 

• знание архитектурных паттернов клиент-серверного взаимодействия, используемых для работы веб-приложений (MVC) и веб-служб (SOA);
• владение языком программирования, используемым для веб-разработки (JavaScript, PHP, Java, Ruby);
• понимание архитектуры и принципов работы веб-серверов, серверов веб-приложений (например, Apache, nginx, Tomcat);
• знание HTML/XML/JSON;
• понимание причин возникновения и признаков наличия уязвимостей из рейтинга OWASP TOP 10;
• знание базовых механизмов защиты клиентского и серверного ПО, используемого для работы веб-приложений;
• знакомство с инструментом анализа защищенности веб-приложений (OWASP ZAP, w3af, Burp Suite, Acunetix WVS);
• ноутбук с установленным ПО bee-box (виртуальная машина с образом ОС, содержащий open-source ПО bWAPP).

Рекомендуемые к предварительному изучению источники:

• OWASP TOP 10 2013;
• ASVS v3;
• OWASP Testing guide v4.

Автор: Толмачев Евгений Николаевич, менеджер по тестированию отдела тестирования информационной безопасности приложений Департамента качества АО «Сбербанк-Технологии».

Об авторе: В настоящее время занимается внедрением практик безопасной разработки в общий цикл разработки автоматизированных систем, разрабатываемых для Сбербанка. Опыт Евгения включает в себя проведение тестирования на проникновение и аудитов различного типа приложений и компонентов сетевой инфраструктуры для крупнейших отечественных и иностранных компаний, опыт проведения форензик-расследований, научно-исследовательских работ в области информационной безопасности для различных федеральных служб. Евгений является участником программ bug bounty. Им были получены благодарности компаний Yandex, Apple, Oracle за выявление уязвимостей в разрабатываемых продуктах. Также является участником международных CTF соревнований в РФ и за ее пределами, выступая как в качестве члена CTF команды, так и организатора соревнований.