[HTML Academy] Протоколы и сети: веб-безопасность

​
Курс для фронтенд-разработчиков, которые хотят научиться обеспечивать безопасность компонентов веб-приложения и писать код, устойчивый ко взломам.

Необходимые знания: базовые знания HTML, CSS, jаvascript.

После курса вы сможете:

• Снижать уязвимость компонентов веб-приложения
• Писать код, который менее подвержен атакам
• Создать CSP для реального проекта
• Находить уязвимости и на их основе писать более безопасный код
• Защитить форму с данными
• Шифровать и дешифровывать данные

Программа Раздел 1

Какие данные и контент нужно защищать, откуда идут угрозы

Поговорим о том, как браузеры организовывают защиту данных пользователей и какие есть способы защиты CMS-систем, а также начнём изучать источники угроз.

— Защита данных со стороны браузеров, Privacy Sandbox
— Защита CMS
— Тест по материалам раздела

Раздел 2

Защита со стороны клиента

Разберёмся с безопасным хранением данных в cookie, обсудим брандмауэры WAF, поговорим о манипуляциях URL и потренируемся настраивать Политику безопасности контента.

— Безопасное хранение данных в cookie
— WAF и обход WAF
— Манипуляция URL
— Content Security Policy
— Кейс: настройка CSP
— Практика: настройка CSP
— Кейс: эталонное решение задания
— Практика: создание CSP
— Кейс: эталонное решение задания
— Тест по материалам раздела

Раздел 3

Защита со стороны клиента: формы

Разберём защиту полей ввода, потренируемся валидировать поля ввода пароля на jаvascript, обсудим шифрование паролей и уязвимости сессий.

— Защита полей ввода
— Кейс: валидация поля ввода пароля на jаvascript
— Практика: валидация формы
— Кейс: эталонное решение задания
— Шифрование паролей
— Защита данных банковских карт. Взлом и фиксация сессии
— Практика: хеширование пароля с добавлением соли
— Кейс: эталонное решение задания
— Чек-лист безопасности
— Тест по материалам раздела

Раздел 4

Защита со стороны сервера: XSS, SQL-Injection

Начнём обсуждать атаки на серверную сторону веб-приложений и способы защиты веб-приложения от таких уязвимостей.

— Уязвимости со стороны сервера
— XSS-уязвимости
— SQL-инъекции
— Кейс: уязвимости XSS и URL на практике
— Способы защиты веб-приложения от уязвимостей
— Практика: защита jаvascript
— Кейс: эталонное решение задания
— Практика: защита HTML
— Кейс: эталонное решение задания
— Тест по материалам раздела

Раздел 5

Защита со стороны сервера: CSRF, DoS, CORS, Man in the Middle

Продолжим разбирать уязвимости серверов веб-приложений, обсудим подделку межсайтовых запросов, DDoS атаки, настроим политику междоменного использования ресурсов.

— Обзор уязвимостей раздела
— CSRF Cross-Site Request Forgery
— Denial of Service, Slowloris
— CORS
— Кейс: создание CORS для проекта
— Man in the Middle и разведка уязвимостей
— Практика: исправление ошибки CORS
— Кейс: эталонное решение задания
— Тест по материалам раздела
— Чек-лист безопасности по разделу

Раздел 6

Итоговый раздел

Подведём итоги и закрепим полученные знания.

— Итоги курса
— Чек-лист безопасности
— Итоговый тест по курсу