Внимание!!! AdBlock блокирует показ некоторых скриншотов. Пожалуйста, все вопросы к разработчкикам
Автор
Сообщение
Mephis
Проектирование безопасности веб - сайтов и эффективная защита от атак
Год выпуска: 2010 Производитель: Специалист Сайт производителя: http://www.specialist.ru/course/bsait-a Автор: Борисов Игорь Олегович Продолжительность: 16 ак. ч. Тип раздаваемого материала: Видеоурок Язык: Русский Описание: Создать красивый дизайн и написать несложные PHP-скрипты — это еще не значит сделать грамотный и безопасный Веб-сайт. К сожалению, атаки на Веб-сайты учащаются с каждым днем, и такие атаки могут принести вполне ощутимые потери владельцу сайта. Причем потери могут быть самыми разными: от моральных до реальных финансовых потерь и ухудшение имиджа компании в целом. Но Веб-мастера нечасто задумываются о безопасности создаваемых ими сайтов и количество уязвимых сайтов растет с каждым днем. И в результате, хорошо известный нам сайт вдруг начинает вести себя не так, как было задумано автором. В предлагаемом курсе рассматриваются основные подходы в обеспечении безопасности веб-сайтов и способы обеспечения этой безопасности. В основном в данном курсе рассматриваются аспекты безопасности в технологии PHP — самой распространенной сегодня технологии создания сайтов.
Модуль 1. Понятие безопасности приложений, классификация опасностей и методы их предотвращения * Что такое безопасность * Важность безопасности в Веб-приложениях * SDL – Security Development Lifecycle * Классификация опасностей — методика STRIDE * Обзор технологий, используемых для обеспечения безопасности Криптографические алгоритмы SSL/TSL Безопасная аутентификация и авторизация Ограничение доступа к критически важным объектам Модуль 2. Безопасная аутентификация и авторизация
* Способы аутентификации и авторизации на сайтах * Опасные и безопасные методы аутентификации пользователей * Способы передачи и хранения аутентификации учетных данных * Рекомендации по использованию аутентификации на сайте Модуль 3. Основные атаки на веб-приложение * XSS-атаки * Уязвимые места в XSS-атаках * SQL инъекция * Способы и правила контроля входных данных * Рекомендации по контролю входных данных
Модуль 4. Другие атаки на веб-приложение. Модификация и раскрытие критически важных данных * Инъекция исполняемого кода * Использование «черных ходов» * Недостаточная обработка ошибок * Раскрытие данных сессий * Утечки информации и раскрытие критически важных данных * Надежное хранение данных * Важность человеческого фактора * Рекомендации по уходу от атак, связанных с модификацией данных Модуль 5. Повышение привилегий и общая отказоустойчивость системы * Опасность повышения привилегий в системе * Принцип минимальных привилегий * Рекомендации по уходу от атак, связанных повышением привилегий * Атаки типа «отказ в обслуживании» * Рекомендации по уходу от атак типа «Отказ в обслуживании»