Об авторе
Директор по продуктам безопасной разработки в «Яндекс». Ранее в роли технического директора в компании «МТС» отвечал за развитие продуктов и технологическую стратегию в направлении кибербезопасности. На позиции директора технологического центра в Huawei реализовывал программы перспективных исследований и разработок для ключевых продуктов в сфере телекоммуникации, хранения данных и облачных вычислений.
Выпускник факультета информационной безопасности НИЯУ МИФИ и Президентской Академии.
18 лет
в информационной
безопасности
80+
исследований об атаках
и методах защиты
100+
проектов пентеста
и анализа защиты
Кому будет полезен курс
- Junior ИБ-специалистам
- Студентам ВУЗов
- Пентестерам и багхантерам
- И тем, кто хочет начать карьеру в ИБ
24 часа
1 месяц
Онлайн
64 990 ₽
Стоимость
* Для физических лиц возможна рассрочка платежа
Документ об окончании
Удостоверение о повышении квалификации
После прохождения курса проводится итоговая аттестация, по результатам которой слушатель получает удостоверение о повышении квалификации МГТУ им. Н.Э. Баумана. Студентам вузов и колледжей удостоверение выдается только после получения диплома о высшем или среднем профессиональном образовании.
Лицензия на право ведения образовательной деятельности № Л035-00115-77/00119279.
На выпускных документах МГТУ им. Н.Э. Баумана проставляется официальная гербовая печать с полным наименованием учебного заведения.
Образовательные учреждения с иными печатями, отличающимися от установленного образца, не имеют никакого отношения к Университету.
Ожидаются новые даты
Подписывайся на телеграм канал @baumantech, чтобы быть в курсе всех подробностей!
Чему вы научитесь
- Искать уязвимости в приложениях и устранять их
- Консультировать по вопросам безопасной разработки
- Работать с инструментами SAST, SCA и DAST
- Выявлять уязвимости из OWASP Top-10
- Проводить security code review и анализировать поверхность атаки
- Понимать клиентские атаки и эксплуатировать серверные уязвимости (XSS, CSRF, SSRF, XXE и др.)
- Формулировать требования безопасности и контролировать их выполнение
- Запускать баг-баунти-программы и управлять процессом исправления уязвимостей
- Настраивать CI/CD, работать с контейнерами и оркестрацией
Должность
AppSec-инженер
Заработная плата от:
120 000 руб.
Программа курса
Модуль 1. Введение
- Обзор программы
- Цели и задачи программы
- Роль AppSec-инженера в жизненном цикле разработки ПО
- Истории успеха и примеры из практики
Модуль 2. Архитектура веб-приложений и инструменты их анализа
- Архитектура веб-приложений и принципы работы базовых технологий: HTTP-протокол, веб-сервер и клиент
- Инструменты анализа приложений: консоль разработчика, веб-прокси, утилиты
Модуль 3. Поверхность атаки: сбор данных и мониторинг
- Целенаправленные атаки и поверхность атаки: определения
- Методы сбора поверхности атаки
- Техники и инструменты сбора поверхности атаки
Модуль 4. Уязвимости OWASP Top 10
1. Уязвимости OWASP Top 10
2. Поиск и эксплуатация уязвимостей на стороне сервера
- SQL-инъекции
- Внедрение заголовков (header injection)
- CSV-инъекции
- Внедрение команд
- Template injection
- Обход директории (directory traversal)
- XML external entity (XXE)
- Server-side request forgery (SSRF)
- Insecure Direct Object Reference (IDOR)
- HTTP parameter pollution
- Захват поддоменов (subdomain takeover)
3. Атаки на клиента
- Cross-site scripting (XSS)
- Cross-site request forgery (CSRF)
- Открытое перенаправление (open redirection)
- Clickjacking
4. Атаки на зависимости в цепочке поставок
Модуль 5. Методы и инструменты обнаружения уязвимостей
- Методы и инструменты динамического тестирования (DAST)
- Методы и инструменты фаззинга
- Методы и инструменты статического тестирования приложений и композиционного анализа (SAST, SCA)
Модуль 6. Построение процесса безопасной разработки (Secure SDL)
- Процесс безопасной разработки (SSDL) и DevSecOps
- Моделирование угроз и методология STRIDE
- Ключевые этапы SSDL. Внедрение безопасности на на этапах сбора и анализа требований, создания архитектуры, разработки, тестирования и в продуктовом окружении
- Фреймворки для безопасной разработки: OWASP OpenSAMM, BSIMM
- Безопасность цепочки поставок и фреймворк SLSA
- Кейс-исследование: атаки на процесс разработки
Модуль 7. Карьерный трек и применение полученных знаний
- Роли и карьерные треки в информационной безопасности
- Ключевые навыки и компетенции для развития в индустрии ИБ
- Рекомендации для непрерывного персонального обучения в кибербезопасности
Бонус. Использование AI для обеспечения безопасности приложений
На примерах практических кейсов учимся использовать ИИ для рабочих задач AppSec-инженера
Требования к слушателям
К освоению учебной программы допускаются лица, имеющие среднее профессиональное и (или) высшее образование (получающие среднее профессиональное и (или) высшее образование).