Курс для фронтенд-розробників, які хочуть навчитися забезпечувати безпеку компонентів веб-додатки і писати код, стійкий до зломів.
необхідні знання: базові знання HTML, CSS, JavaScript.
Після курсу Ви зможете:
- зменшити вразливість компонентів веб-додатків
- писати код, який менш схильний до атак
- створити CSP для реального проекту
- знаходити уразливості і на їх основі писати більш безпечний код
- захистити форму з даними
- шифрувати та дешифрувати дані
Розділ 1
які дані і контент потрібно захищати, звідки йдуть загрози
Поговоримо про те, як браузери організовують захист даних користувачів і які є способи захисту CMS-систем, а також почнемо вивчати джерела загроз.
захист з боку клієнта
Розберемося з безпечним зберіганням даних в cookie, обговоримо брандмауери WAF, поговоримо про маніпуляції URL і потренуємося налаштовувати політику безпеки контенту.
захист з боку клієнта: форми
Розберемо захист полів введення, потренуємося валідувати поля введення пароля на JavaScript, обговоримо шифрування паролів і уразливості сесій.
захист з боку сервера: XSS, SQL-Injection
Почнемо обговорювати атаки на серверну сторону веб-додатків і способи захисту веб-додатки від таких вразливостей.
захист з боку сервера: CSRF, dos, CORS, Man in the Middle
Продовжимо розбирати уразливості серверів веб-додатків, обговоримо підробку міжсайтових запитів, DDoS атаки, налаштуємо політику міждоменного використання ресурсів.
- Огляд вразливостей розділу
— CSRF Cross-Site Request Forgery
— Denial of Service, Slowloris
— CORS
підсумковий розділ
Підіб'ємо підсумки і закріпимо отримані знання.
які дані і контент потрібно захищати, звідки йдуть загрози
Поговоримо про те, як браузери організовують захист даних користувачів і які є способи захисту CMS-систем, а також почнемо вивчати джерела загроз.
- Захист даних з боку браузерів, Privacy Sandbox
- Захист CMS
- Тест за матеріалами розділу
захист з боку клієнта
Розберемося з безпечним зберіганням даних в cookie, обговоримо брандмауери WAF, поговоримо про маніпуляції URL і потренуємося налаштовувати політику безпеки контенту.
- Безпечне зберігання даних в cookie
- WAF і обхід WAF
- Маніпуляція URL
- Кейс: Налаштування CSP
- Практика: Налаштування CSP
- Кейс: еталонне рішення завдання
- Практика: створення CSP
- Кейс: еталонне рішення завдання
- Тест за матеріалами розділу
захист з боку клієнта: форми
Розберемо захист полів введення, потренуємося валідувати поля введення пароля на JavaScript, обговоримо шифрування паролів і уразливості сесій.
- Захист полів введення
- Кейс: валідація поля введення пароля на JavaScript
- Практика: валідація форми
- Кейс: еталонне рішення завдання
- Шифрування паролів
- Захист даних банківських карт. Злом і фіксація сесії
- Практика: хешування пароля з додаванням солі
- Кейс: еталонне рішення завдання
- Чек-лист безпеки
- Тест за матеріалами розділу
захист з боку сервера: XSS, SQL-Injection
Почнемо обговорювати атаки на серверну сторону веб-додатків і способи захисту веб-додатки від таких вразливостей.
- Уразливості з боку сервера
- XSS-уразливості
- SQL-ін'єкції
- Кейс: уразливості XSS і URL на практиці
- Способи захисту веб-додатки від уразливостей
- Практика: захист JavaScript
- Кейс: еталонне рішення завдання
- Практика: захист HTML
- Кейс: еталонне рішення завдання
- Тест за матеріалами розділу
захист з боку сервера: CSRF, dos, CORS, Man in the Middle
Продовжимо розбирати уразливості серверів веб-додатків, обговоримо підробку міжсайтових запитів, DDoS атаки, налаштуємо політику міждоменного використання ресурсів.
- Огляд вразливостей розділу
— CSRF Cross-Site Request Forgery
— Denial of Service, Slowloris
— CORS
- Кейс: створення CORS для проекту
- Man in the Middle і розвідка вразливостей
- Практика: виправлення помилки CORS
- Кейс: еталонне рішення завдання
- Тест за матеріалами розділу
- Чек-лист безпеки по розділу
підсумковий розділ
Підіб'ємо підсумки і закріпимо отримані знання.
- Підсумки курсу
- Чек-лист безпеки
- Підсумковий тест по курсу
https://privatelink.de/?https://levelup.htmlacademy.ru/networks-web