Модуль 3
174,00ч

Разработка безопасных веб-приложений (профильный модуль)

Студенты ознакомятся с распространенными уязвимостями веб-приложений, получат навыки их эксплуатации, научатся использовать множество инструментов (например, Burp Suite, sqlmap, patator). Также по окончанию курса студенты смогут разрабатывать рекомендации по исключению обнаруженных уязвимостей. Модуль посвящен применению программных средств для обеспечения защищенности приложений: сканеров веб-приложений и сервисов, сканеров кода, фаерволов и др. систем. Участники научатся настройке, применению и поддержанию подобных систем. Приобретут опыт их использования и знание того, где и как эти системы нужно применять.
Часов в программе
66,00 часов
лекции
89,00 часов
практика
3,00 часа
самостоятельная
16,00 часов
промежуточная аттестация
174,00 часа
всего
Материально-технические условия реализации программы:
Вид занятий: Практические занятия
Требуемое ПО:
- VirtualBox - https://www.virtualbox.org/ , либо в случае обладания навыками уверенного использования VMWare Workstation Player - https://www.vmware.com/ru/products/workstation-player/workstation-player-evaluation.html (Если есть навыки уверенного пользования, подойдет любая система виртуализации)
- Zoom (https://zoom.us/).
Информационные ресуры
Платные курсы :

https://www.luxoft-training.ru/training/katalog_kursov/bezopasnost-po/
около и рядом - https://otus.ru/lessons/security-web-dev/
https://itsecurity.ru/catalog/kp75/
https://training-microtest.ru/course/kp75
https://academyit.ru/courses/SC/
https://uc-echelon.ru/nashi-kursy/sertifikaciya-po/razrabotka-bezopasnogo-po/
https://www.infosystems.ru/courses/avtorskie_kursy/ISSF020-1/

Бесплатные курсы :

https://www.rea.ru/ru/org/managements/unitscires/Laboratorija-Oblachnykh-tekhnologijj-i-analitiki-Bolshikh-dannykh/Documents/АветисянАИ.pdf
публикация в журнале(надо регистрироваться) https://www.elibrary.ru/item.asp?id=29332600
небольшой топик с ключевыми темами по вопросу - https://www.securitylab.ru/blog/personal/crypto-anarchist/312897.php
тоже топик по теме https://tproger.ru/articles/secure-app-development/
ИТМО программа - https://openedu.ru/course/ITMOUniversity/INFSEC/
МИФИ курс - https://bit.mephi.ru/index.php/bit/article/view/103
около и рядом - https://habr.com/ru/company/yandex/blog/414821/
Образовательные ресуры
Платные курсы:
https://www.luxoft-training.ru/training/katalog_kursov/bezopasnost-po/
около и рядом - https://otus.ru/lessons/security-web-dev/
https://itsecurity.ru/catalog/kp75/
https://training-microtest.ru/course/kp75
https://academyit.ru/courses/SC/
https://uc-echelon.ru/nashi-kursy/sertifikaciya-po/razrabotka-bezopasnogo-po/
https://www.infosystems.ru/courses/avtorskie_kursy/ISSF020-1/

Бесплатные курсы :
https://www.rea.ru/ru/org/managements/unitscires/Laboratorija-Oblachnykh-tekhnologijj-i-analitiki-Bolshikh-dannykh/Documents/АветисянАИ.pdf
публикация в журнале(надо регистрироваться) https://www.elibrary.ru/item.asp?id=29332600
небольшой топик с ключевыми темами по вопросу - https://www.securitylab.ru/blog/personal/crypto-anarchist/312897.php
тоже топик по теме https://tproger.ru/articles/secure-app-development/
ИТМО программа - https://openedu.ru/course/ITMOUniversity/INFSEC/
МИФИ курс - https://bit.mephi.ru/index.php/bit/article/view/103
около и рядом - https://habr.com/ru/company/yandex/blog/414821/

Учебно-методические материалы

Методы, формы и технологии

Проблемно-развивающие методы
Исследовательский метод
Объяснительно-иллюстративный метод
Частично-поисковый метод
Метод контроля и самоконтроля
Самостоятельная работа по освоению теоретического материала
Самоконтроль через ответы на вопросы по видеолекциям и выполнение практических заданий для самоконтроля
Промежуточный контроль (тесты по темам для промежуточной аттестации)
Итоговый контроль (итоговое тестирование по курсу)
Консультативная поддержка преподавателя и менторов в режиме онлайн.

Методические разработки

Презентации модуля https://drive.google.com/drive/u/1/folders/10BJj2HDZN8VFabhgeyBYzxGaLuaCZ0sE

Материалы курса

Исследование на тему загрузки файлов: https://mike-n1.github.io/ExtensionsOverview

Учебная литература

Электронные образовательные ресурсы https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet

Темы

Веб-технологии Уязвимость OS Command injection Уязвимость SQL Injection Атаки на аутентификацию Path traversal, File Upload, Local File Include Уязвимость Broken Access Control, Уязвимость Server-Side Template Injection Небезопасная десериализация Уязвимости Server Side Request Forgery и XML External Entity Безопасность клиентской части веб-приложений - SOP, CSRF Безопасность клиентской части веб-приложений - Cross-Site Scripting
Лекции
6,00ч
Практические занятия
8,00ч
Самостоятельная работа
3,00ч
Всего
17,00ч
Лекции
6,00ч
Практические занятия
8,00ч
Всего
14,00ч
Лекции
5,00ч
Практические занятия
9,00ч
Всего
14,00ч
Лекции
8,00ч
Практические занятия
12,00ч
Всего
20,00ч
Лекции
8,00ч
Практические занятия
10,00ч
Всего
18,00ч
Лекции
7,00ч
Практические занятия
9,00ч
Всего
16,00ч
Лекции
5,00ч
Практические занятия
10,00ч
Всего
15,00ч
Лекции
5,00ч
Практические занятия
2,00ч
Всего
7,00ч
Лекции
8,00ч
Практические занятия
9,00ч
Всего
17,00ч
Лекции
8,00ч
Практические занятия
12,00ч
Всего
20,00ч
Промежуточная аттестация 16,00 часов
Практиориентированный кейс.
Задание:
1. Использовать Dependency Checker
2. Провести работу со сканером уязвимостей, просканировать код
3. Встроить инструменты сканирования в CI
3. Настроить и использовать WAF-решений