ИзбранноеПечать

Тестирование защищенности веб-приложений

На тренинге рассматриваются как общие принципы компроментации защиты веб-приложений, так и отдельные наиболее распространенные виды уязвимостей.

Онлайн-тренинг, 1 месяц, 4 занятия

Описание

Тестирование веб-приложений интересно тем, что оно требует наиболее широкого владения различными видами тестирования. Одно из ключевых мест занимает тестирование защищенности (security testing) или проверка отсутствия известных уязвимостей.

Почему тестирование защищенности имеет такое большое значение именно для веб-приложений?

  1. Веб-приложения ориентированы на массовое использование, поэтому сбои в работе, вызванные действиями злоумышленника, могут оказать негативное воздействие на большое количество ни в чём неповинных пользователей.
  2. Веб-приложения могут хранить конфиденциальную информацию, утечка этих данных может иметь очень серьёзные последствия.
  3. Доступ к веб-приложению имеет множество “недоверенных” пользователей, при этом владельцы или разработчики приложения как правило не могут контролировать или ограничивать их действия.
  4. Обмен информацией между браузером и сервером происходит по открытым каналам с использованием открытых протоколов, поэтому сложно контролировать данные, передаваемые клиентами.
  5. Разработка веб-приложений не всегда ведётся с должным вниманием к обеспечению защищенности и надёжности, потому что рынок в первую очередь требует “быстро”!

Разумеется, тестирование защищенности не ограничивается тестированием самого веб-приложения. Уязвимость может находиться в веб-сервере, операционной системе, почтовой системе, ftp-сервере или ещё где-то. Но задача создания защищенного окружения в большей степени находится в зоне ответственности системных администраторов, а вот защищенность вашего собственного веб-приложения -- целиком на совести его разработчиков и тестировщиков.

На тренинге мы рассмотрим как общие принципы компроментации защиты веб-приложений, так и отдельные наиболее распространенные виды уязвимостей, которые могут быть использованы даже не слишком квалифицированным злоумышленником, что существенно повышает вероятность их эксплуатации.

Краткое содержание тренинга:

Основные принципы компроментации защиты веб-приложения:

  1. Атаки на клиент (браузер)
  2. Атаки на сервер
  3. Атаки на сеть
  4. Социальная инженерия

Инструментарий тестировщика

  1. Анализ исходного кода
  2. Анализ данных и структуры запросов
  3. Сканирование (поиск вширь)
  4. Фаззинг (поиск вглубь)

Распространенные атаки на клиент:

  1. обход валидаторов
  2. подделка cookies и перехват сессий
  3. сross-site scripting (XSS)
  4. cross-site request forgery (XSRF)

Распространенные атаки на сервер:

  1. SQL-инъекции
  2. файловые инъекции (внедрение backdoor shell)
  3. командные инъекции (удаленное выполнение команд)
  4. получение доступа к содержимому директорий и файлов
  5. отказ в обслуживании (DoS)

Веб-сервисы (SOAP, REST, JSON API)

Формат

Обучение происходит следующим образом:

В специальном закрытом разделе выкладывается запись очередного урока курса, ссылки на дополнительные материалы, домашняя работа.

Теоретическую информацию можно посмотреть в любое удобное время.

Помимо теоретической части, вас также ждут практические домашние задания, которые тщательно проверяются тренером. После проверки практических заданий Вы получаете оценку и подробный комментарий по своей работе и при необходимости советы по доработке. По результатам комментариев тренера Вы можете переделать домашнюю работу и улучшить свою оценку.

Общение участников курса и тренеров проходит и в скайп-чате учебной группы, где можно задавать вопросы тренеру и при желании общаться с другими участниками учебной группы. Каждый день тренер будет доступен в скайп-чате и каждый день будет отвечать на вопросы, Вы можете задавать вопросы по теоретическому материалу или домашней работе, как только они у вас возникают.

Все выпускники, успешно сдавшие домашние задания, получают сертификат.

Условия

Стоимость участия в тренинге для физических лиц: 5 000 рублей.

Стоимость участия для юридических лиц: 6 000 рублей за весь курс за одного участника. При регистрации от 3-х участников на один курс действует 15% скидка.

Оплатить прямо сейчас

Информация для физических лиц:

Услуги оказываются на основании публичного договора оферты. Ознакомиться с договором можно ЗДЕСЬ.

Если Вы хотите оплатить тренинг прямо сейчас, то нажмите кнопку выше для перехода в наш магазин и оформите покупку (если кнопка активна, значит можно оплачивать не беспокоясь о наличии мест). После оплаты мы пришлем письмо о регистрации на курс и подтверждение оплаты. Если Вы не получили письмо в течение рабочего дня, просто отправьте сообщение на trainings@software-testing.ru

Если Вы хотите совершить оплату позже, для гарантированного участия обязательно забронируйте место на тренинге, для этого необходимо нажать на кнопку ЗАПИСАТЬСЯ справа от тренинга и заполнить все необходимые поля

Если у Вас есть какие-то вопросы, их можно задать по указанному выше адресу.

По ссылке Вы можете ознакомиться с информацией о способах оплаты: http://software-testing.ru/buy/sposoby-oplaty

Информация для юридических лиц:

По вопросам оформления договора и выставления счета на оплату обращайтесь по адресу trainings@software-testing.ru. Обратите внимание, что при постоплате стоимость тренинга увеличивается на 25%.

Возможна оплата участия на условиях публичного договора оферты. Ознакомиться с договором можно ЗДЕСЬ. По вопросам выставления счета на оплату обращайтесь по адресу trainings@software-testing.ru

Отзывы

Сергей Марков, Self employed, QA Analyst

Не переставал удивляться знаниям Алексея в столь широких областях. Также количество приложений, с которыми он знаком и порекомендовал, тоже впечатляет. Очень четкая и структурная речь. Несмотря на довольно быструю речь, не было пауз в поисках нужных слов. Знания Алексея в области технологий поражают глубиной и объемом. На вопросы, которые я задал, Алексей давал ответы, которые помогли разобраться с техническими проблемами.

На консультации удалось побывать только раз. Проблема – разница во времени между Москвой и Торонто.

Домашнее задание было очень полезным, задание и дополнительная информация выложена четко и полно. Спасибо Татьяне за комментарии к дз.

Тема была раскрыта полно, но требуется много самостоятельной работы, чтобы охватить даже то, о чем рассказывал Алексей. Виды уязвимостей и атак, а также метод тестирования обсуждались со знанием того что действительно важно. Ничего лишнего. Было очень интересно слушать и смотреть. Ставил видео на паузу, чтобы повторить какие-то действия или найти информацию. Постоянно хотелось узнать, а что будет в следующий раз.

Большое спасибо Наталье и Алексею за организацию платежа за курс. Все сообщения были присланы вовремя и содержали исчерпывающую информацию.

Ожидания в полной мере оправдались. Полученные знания и навыки я успешно применил сразу же по окончании курса. Это доказательство эффективности курса. Только самые положительные впечатления. Посоветовать можно только то, чтоб продолжать создавать похожие курсы. Может быть, что-нибудь типа Тестирование защищенности Advanced.

Горохова Юлия Андреевна, Инженер по обеспечению качества

Было очевидно, что тренер хорошо подкован в области, которой занимается. И помимо основной информации старался помочь во всех вопросах. Уверена, если бы прошла курс ещё раз, то получила бы ещё не мало полезной информации.

Всё отлично. Ни задержек, ни опозданий. Не было моментов, чтобы что-то не удалось услышать . А если что-то вдруг не поддается пониманию – всё объяснят ещё раз более подробно. На все заданные вопросы всегда подробный и развернутый ответ. В общем всё, что было заявлено в программе – всё есть.

Мне понравилось, так как это именно то, чем интересуюсь на данный момент. Конечно же хочется продолжения курса.

Воспользуюсь возможностью оставить предложение организаторам. Если курс, действительно, популярен, то есть смысл сделать ещё один более продвинутый. Всегда самостоятельно изучение затягивается. А уязвимостей очень много и хитростей в их поиске тоже множество. Уверена, что составить программу будет не сложно, а заинтересованные найдутся. Если моя просьба будет услышана, будут первой записавшейся на подобный курс к Алексею Баранцеву.

Васильев Арсений, тестировщик

Курс для меня оказался полезным, уже после первого занятия применил полученный опыт на своем проекте. Информация подавалась очень развернуто, на конкретных примерах и простым языком. Тренер рассказал, как пользоваться всеми необходимыми инструментами для поиска уязвимостей, а так же научил доказывать нашим любимым разработчикам, что эту проблему действительно нужно решать. На консультациях, Алексей отвечал на любые вопросы, даже выходящие за рамки курса. Очень понравилось, что после завершения дали достаточное количество времени, что бы спокойно сделать домашние задания. В целом тренинг дает базовые знания о тестировании защищенности веб-приложений и может служить отправной точкой в вашем развитии в этом направлении.

Хайруллина Альбина Фаритовна, ООО «ФОРМ», Инженер по обеспечению качества

Понятно, доступно, интересно. Времени хватало и на изложение материала, и на ответы на вопросы. Было все внятно, понятно и главное, не монотонно. Ответы развернутые. Формат онлайн-тренинга-удобно, можно смотреть в свободное время, пересматривать. Тренинг понравился, как манера изложения материала, так формат. Нет необходимости отрываться от работы, а можно спокойно вечерком посмотреть запись и сделать задания. Очень удобно, что есть запас времени по сдачи домашних заданий. Как говорится, «сделано все для людей» J Разделение на обязательные и не обязательные задания, позволяет растянуть удовольствие и оставить что-то на потом, если свободного времени маловато. И конечно же, получить «пряник» в виде сертификата. Спасибо за ваш тренинг! Smile

Посмотреть все отзывы

Цена: 5000 RUB
Место: онлайн
Начало: 19 мая 2017
Окончание: 6 июня 2017

Go to top