...
...

Как оценить защищенность Web-приложений

Апгрейд уникального авторского курса по обеспечению безопасности Web-приложений в Учебном центре "Информзащита".

Анализ текущего состояния корпоративных сетей показал, что значительная часть Web-приложений создается не владельцами информационных ресурсов, а приобретается как составная часть компонентов информационной системы предприятия. Во многих случаях владелец не имеет представления о том, в какой мере требования безопасности учтены при разработке того или иного продукта. Владение навыками анализа и оценки защищенности Web-приложений помогает при формировании требований по безопасности к создаваемым и имеющимся приложениям, оценке качества реализаций этих требований, а также дают возможность самостоятельно устранить обнаруженные проблемы.

Подробные методики анализа защищенности Web-приложений были разработаны специалистами Учебного центра "Информзащита". В связи с этим программа авторского курса Учебного центра по обеспечению безопасности Web-приложений была дополнена. Учебный курс "Анализ и оценка защищенности Web-приложений" прежде всего, адресован специалистам, поддерживающим приобретенные Web-приложения и внедряющие системы других производителей.

Курс базируется на концепции глубокоэшелонированной защиты (Defence in depth), в рамках которой рассматривается методика поэтапной настройки всех компонентов, включая сетевую инфраструктуру, базовые операционные системы, СУБД и собственно Web-приложения. Половина учебного времени отведено практическим работам и демонстрациям. Практические работы проводятся на базе системы, представляющей собой типовое Web-приложение, содержащее распространенные уязвимости, в том числе обнаруженные специалистами лаборатории сетевой безопасности Учебного центра "Информзащита" в процессе аудита безопасности Web-сайтов и клиентских приложений.





Материалы курса были использованы специалистами сетевой безопасности Учебного центра "Информзащита" при разработке Классификации угроз безопасности Web-приложений (Threats Classification).



© Компьютерная газета