Программа курса
1 ДЕНЬ
Основы кибербезопасности
- Что такое безопасность?
- Угроза и риск
- Типы угроз кибербезопасности - триада ЦРУ
- Типы угроз кибербезопасности - модель STRIDE
- Последствия небезопасного программного обеспечения
- Ограничения и рынок
- Темная сторона
- Категоризация ошибок
- Семь пагубных королевств
- Перечень общих слабых мест (CWE)
- CWE: 25 самых опасных уязвимостей программного обеспечения
- Кибербезопасность в финансовом секторе
- Угрозы и тенденции в финтехе
- PCI DSS
- Обзор
- Требования и безопасное кодирование (Требования 1-5)
- Треб. 6 - Разрабатывать и поддерживать безопасные системы и приложения
- Требование 6.5 - Устранение распространенных уязвимостей кодирования
- Требования и безопасное кодирование (Требования 7-12)
Десять лучших по версии OWASP 2021 года
A04 - Небезопасный дизайн
- Модель угроз STRIDE
- Принципы безопасного проектирования Зальцера и Шредера
- Безопасность на стороне клиента
- Рамочная песочница
- Атаки с кросс-фрейм-скриптингом (XFS)
- Лаборатория - Clickjacking
- Clickjacking помимо захвата клика
- Лучшие практики защиты от кликджекинга
- Лабораторная работа - Использование CSP для предотвращения кликджекинга.
- Рамочная песочница
A05 - Неверная конфигурация безопасности
- Принципы конфигурации
- Неправильная конфигурация сервера
- Безопасность файлов cookie
- Лучшие практики безопасности файлов cookie
- Атрибуты cookie
- XML-сущности
- DTD и сущности
- Атрибут взрыва
- Расширение сущности
- Атака на внешнюю сущность (XXE)
- Включение файла с внешними объектами
- Подделка запросов на стороне сервера с внешними объектами
- Лабораторная работа - Атака на внешнюю сущность.
- Пример использования - уязвимость XXE в SAP Store
- Лабораторная работа - Запрещение расширения DTD.
A06 - Уязвимые и устаревшие компоненты
- Использование уязвимых компонентов
- Практический пример - утечка данных Equifax
- Оценка окружающей среды
- Закалка
- Импорт ненадежной функциональности
- Управление уязвимостями
- Управление исправлениями
- Базы данных уязвимостей
- Рейтинг уязвимости - CVSS
- Программы Bug Bounty
- DevOps, процесс сборки и CI / CD
A09 - Сбои регистрации и мониторинга безопасности
- Принципы ведения журнала и мониторинга
- Недостаточное ведение журнала
- Пример использования - пароли в виде простого текста в Facebook
- Лучшие практики ведения журнала
- Мониторинг лучших практик
- Межсетевые экраны и межсетевые экраны веб-приложений (WAF)
- Обнаружение и предотвращение вторжений
- Пример использования - нарушение данных Marriott Starwood