Web Application Security for PCI DSS- Part 1 (WASEC-PD1) – Программа курса

Программа курса

1 ДЕНЬ
Основы кибербезопасности

  • Что такое безопасность?
  • Угроза и риск
  • Типы угроз кибербезопасности - триада ЦРУ
  • Типы угроз кибербезопасности - модель STRIDE
  • Последствия небезопасного программного обеспечения
  • Ограничения и рынок
  • Темная сторона
  • Категоризация ошибок
    • Семь пагубных королевств
    • Перечень общих слабых мест (CWE)
    • CWE: 25 самых опасных уязвимостей программного обеспечения
  • Кибербезопасность в финансовом секторе
    • Угрозы и тенденции в финтехе
  • PCI DSS
    • Обзор
    • Требования и безопасное кодирование (Требования 1-5)
    • Треб. 6 - Разрабатывать и поддерживать безопасные системы и приложения
    • Требование 6.5 - Устранение распространенных уязвимостей кодирования
    • Требования и безопасное кодирование (Требования 7-12)

Десять лучших по версии OWASP 2021 года
A04 - Небезопасный дизайн

  • Модель угроз STRIDE
  • Принципы безопасного проектирования Зальцера и Шредера
  • Безопасность на стороне клиента
    • Рамочная песочница
      • Атаки с кросс-фрейм-скриптингом (XFS)
      • Лаборатория - Clickjacking
      • Clickjacking помимо захвата клика
      • Лучшие практики защиты от кликджекинга
      • Лабораторная работа - Использование CSP для предотвращения кликджекинга.

A05 - Неверная конфигурация безопасности

  • Принципы конфигурации
  • Неправильная конфигурация сервера
  • Безопасность файлов cookie
    • Лучшие практики безопасности файлов cookie
    • Атрибуты cookie
  • XML-сущности
    • DTD и сущности
    • Атрибут взрыва
    • Расширение сущности
    • Атака на внешнюю сущность (XXE)
      • Включение файла с внешними объектами
      • Подделка запросов на стороне сервера с внешними объектами
      • Лабораторная работа - Атака на внешнюю сущность.
      • Пример использования - уязвимость XXE в SAP Store
      • Лабораторная работа - Запрещение расширения DTD.

A06 - Уязвимые и устаревшие компоненты

  • Использование уязвимых компонентов
  • Практический пример - утечка данных Equifax
  • Оценка окружающей среды
  • Закалка
  • Импорт ненадежной функциональности
  • Управление уязвимостями
    • Управление исправлениями
    • Базы данных уязвимостей
    • Рейтинг уязвимости - CVSS
    • Программы Bug Bounty
    • DevOps, процесс сборки и CI / CD

A09 - Сбои регистрации и мониторинга безопасности

  • Принципы ведения журнала и мониторинга
  • Недостаточное ведение журнала
  • Пример использования - пароли в виде простого текста в Facebook
  • Лучшие практики ведения журнала
  • Мониторинг лучших практик
  • Межсетевые экраны и межсетевые экраны веб-приложений (WAF)
  • Обнаружение и предотвращение вторжений
  • Пример использования - нарушение данных Marriott Starwood