Меню Закрыть

004.3 Сертификация программного обеспечения по требованиям безопасности информации. Анализ защищенности и тестирование на проникновение

Сертификация программного обеспечения по требованиям безопасности информации. Анализ защищенности и тестирование на проникновение.

Для кого этот курс: эксперты испытательных лабораторий различных систем сертификации средств защиты информации, разработчики и тестировщики программного обеспечения, специалисты по информационной безопасности.

Цель курса: предоставить знания и практические навыки, необходимые для проведения анализа защищенности программного обеспечения, включая идентификацию уязвимостей и угроз, а также планирования и выполнения тестирования на проникновение с использованием различных методик и инструментов.

Требования к предварительной подготовке: базовая подготовка в области информационных технологий и информационной безопасности, в том числе:

  • общие знания в области информационных технологий.  Понимание принципов работы компьютерных сетей, операционных систем и баз данных;
  • общие знания в области информационной безопасности, включая ее свойства. Понимание основных угроз и уязвимостей программного обеспечения, принципов защиты информации;
  • практический опыт работы с командной строкой (Linux/Windows), умение выполнять базовые команды и работать с системами виртуализации и контейнеризации.

Код: 004.3

Форма обучения: очно

Длительность курса: 24 ак.ч

Ближайший курс: 21-23 апреля

Стоимость: 50 000 рублей

Программа:

1 день

  • вводная часть. Этапы анализа защищённости. Применение различных методологий проведения анализа уязвимостей. Отчетность по результатам проведения анализа уязвимости;
  • теоретическая часть по уязвимостям вида «Cross Site Scripting»;
  • практическая часть по уязвимостям вида «Cross Site Scripting». Эксплуатация уязвимости для получения доступа к конфиденциальным данным при помощи сервиса Beeceptor;
  • теоретическая часть по уязвимостям вида «Cross Site Request Forgery»;
  • практическая часть по уязвимостям вида «Cross Site Request Forgery». Кража учётной записи пользователя при помощи встроенных инструментов прокси-сервера Burp Suite;
  • теоретическая часть по уязвимостям вида «SQL Injection»;
  • практическая часть по уязвимостям «SQL Injection». Кража пароля пользователя при помощи утилиты sqlmap и скрипта на Python.

2 день

  • теоретическая часть по уязвимостям класса «Broken access control». Уязвимость «Insecure Direct Object Reference» и атака «Path Traversal»;
  • практическая часть по уязвимостям класса «Broken access control». Эксплуатация «Insecure Direct Object Reference» для получения доступа к данным других пользователей и определение пользователей на веб-сервере при помощи «Path Traversal»;
  • теоретическая часть по уязвимостям типа «OS Command Injection»;
  • практическая часть по уязвимостям типа «OS Command Injection». Эксплуатация «OS Command Injection» вслепую;
  • теоретическая часть по атакам типа «File upload»;
  • практическая часть по атакам типа «File upload»;
  • теоретическая часть по уязвимости типа «Race Condition»;
  • практическая часть по уязвимости типа «Race Condition». Эксплуатация уязвимости в веб-приложении банка, приводящей к возможности перевода средств в размере, превышающем доступный баланс счета.

3 день

  • сбор информации об инфраструктуре. Поиск по открытым источникам, OSINT;
  • сканирование портов, определение сервисов и операционной системы при помощи инструмента nmap;
  • использование сканеров безопасности на примере инструмента Сканер-ВС 6;
  • анализ конфигурации безопасности при помощи сканера Nikto;
  • теоретическая часть по сетевым атакам – MITM, ARP-спуфинг;
  • эксплуатация известных уязвимостей с использованием командной строки Metasploit;
  • парольные атаки на различные сервисы;
  • подведение итогов, тестирование.

Условия обучения

Участникам предоставляются раздаточные материалы.

Слушателям, прошедшим обучение по модулям 004.1 и 004.2 – выдается Удостоверение о повышении квалификации (72 ак.ч)

Слушателям, прошедшим обучение с курса 004.1 по 004.4 – выдается Удостоверение о повышении квалификации (102 ак.ч.)