AppSec-инженер

Курс охватывает важнейшие аспекты обеспечения безопасности программного обеспечения на всех стадиях его разработки. Поиск и защита от уязвимостей в исходном коде и работающем приложении, управление процессами безопасной разработки и внедрение лучших практик для обеспечения безопасности жизненного цикла ПО

Запись окончена

Следи за новостями в нашей группе в телеграме !

t.me/dc_bmstu

Что делает AppSec-инженер?

AppSec-инженеры исследуют программное обеспечение и его инфраструктуру, чтобы обеспечить безопасность на всех этапах жизненного цикла разработки: создают модель угроз, анализируют архитектуру приложения, исследуют его исходный код и инфраструктуру на наличие уязвистей и недостатков, которыми может воспользоваться злоумышленник.

Твои навыки после обучения

После завершения курса вы сможете:
- Идентифицировать и устранять уязвимости в приложениях
- Реализовывать эффективные методы защиты на всех этапах жизненного цикла ПО
- Применять лучшие практики для разработки безопасных приложений
- Понимать и внедрять меры оценки зрелости процессов разработки ПО

Содержание программы

1Введение

- Обзор программы
- Цели и задачи программы
- Роль AppSec-инженера в жизненном цикле разработки ПО
- Истории успеха и примеры из практики

2Ключевые технологии создания веб-приложений и инструменты их анализа

- Принципы работы базовых технологий: HTTP-протокол, веб-сервер и клиент
- Инструменты анализа приложений: консоль разработчика, веб-прокси, утилиты

3Поверхность атаки: сбор данных и мониторинг

- Сбор данных (разведка)
- - Методы сбора информации
- - Использование открытых источников (OSINT)
- - Инструменты для разведки
- Мониторинг и управление поверхностью атаки
- - Средства и методы мониторинга
- - Анализ и управление рисками

4Уязвимости OWASP Top 10

- Обзор и понимание OWASP Top 10
- Уязвимости на стороне клиента
- - XSS (Cross-Site Scripting)
- - Insecure Deserialization
- Уязвимости на стороне сервера
- - SQL Injection
- - Broken Authentication
- Атаки на цепочку поставок в разработке

5Методы обнаружения и эксплуатации уязвимостей

- Методы и инструменты обнаружения уязвимостей
- - Статический анализ кода (SAST)
- - Динамический анализ приложений (DAST)
- - Фаззинг-тестирование
- Инструменты эксплуатации уязвимостей

6Карьерный трек и применение полученных знаний

- Внедрение программы Security Champion
- Роли в ИБ: планы и рекомендации по личному развитию
- Ресурсы для углубленного изучения

Подпишись на наш телеграм канал, чтобы не пропустить важные новости!

t.me/dc_bmstu

Команда программы

Денис Макрушин

Независимый security-исследователь, ех. Технический директор МТС Red

Остались вопросы? Пиши нам

Мы отвечаем в телеграме обычно в течение рабочего дня.

t.me/dc_bmstu_bot

По вопросам сотрудничества:

dc@bmstu.ru

Будь в курсе!
Подпишись на канал

В телеграм-канале мы публикуем новости Цифровой кафедры. Подпишись, чтобы быть в курсе событий

t.me/dc_bmstu