Что делает AppSec-инженер?


AppSec-инженеры исследуют программное обеспечение и его инфраструктуру, чтобы обеспечить безопасность на всех этапах жизненного цикла разработки: создают модель угроз, анализируют архитектуру приложения, исследуют его исходный код и инфраструктуру на наличие уязвистей и недостатков, которыми может воспользоваться злоумышленник.

Твои навыки после обучения

После завершения курса вы сможете:
- Идентифицировать и устранять уязвимости в приложениях
- Реализовывать эффективные методы защиты на всех этапах жизненного цикла ПО
- Применять лучшие практики для разработки безопасных приложений
- Понимать и внедрять меры оценки зрелости процессов разработки ПО

 

Содержание программы


1Введение
- Обзор программы
- Цели и задачи программы
- Роль AppSec-инженера в жизненном цикле разработки ПО
- Истории успеха и примеры из практики
2Ключевые технологии создания веб-приложений и инструменты их анализа
- Принципы работы базовых технологий: HTTP-протокол, веб-сервер и клиент
- Инструменты анализа приложений: консоль разработчика, веб-прокси, утилиты
3Поверхность атаки: сбор данных и мониторинг
- Сбор данных (разведка)
- - Методы сбора информации
- - Использование открытых источников (OSINT)
- - Инструменты для разведки
- Мониторинг и управление поверхностью атаки
- - Средства и методы мониторинга
- - Анализ и управление рисками
4Уязвимости OWASP Top 10
- Обзор и понимание OWASP Top 10
- Уязвимости на стороне клиента
- - XSS (Cross-Site Scripting)
- - Insecure Deserialization
- Уязвимости на стороне сервера
- - SQL Injection
- - Broken Authentication
- Атаки на цепочку поставок в разработке
5Методы обнаружения и эксплуатации уязвимостей
- Методы и инструменты обнаружения уязвимостей
- - Статический анализ кода (SAST)
- - Динамический анализ приложений (DAST)
- - Фаззинг-тестирование
- Инструменты эксплуатации уязвимостей
6Карьерный трек и применение полученных знаний
- Внедрение программы Security Champion
- Роли в ИБ: планы и рекомендации по личному развитию
- Ресурсы для углубленного изучения

Подпишись на наш телеграм канал, чтобы не пропустить важные новости!

Команда программы

Остались вопросы? Пиши нам


Мы отвечаем в телеграме обычно в течение рабочего дня.

t.me/dc_bmstu_bot

По вопросам сотрудничества:

dc@bmstu.ru

Будь в курсе!
Подпишись на канал


В телеграм-канале мы публикуем новости Цифровой кафедры. Подпишись, чтобы быть в курсе событий

t.me/dc_bmstu