ИТ-безопасность для веб-разработчиков относится к одним из ключевых показателей качества современных программных проектов. Веб-приложения постоянно подвержены рискам, и многие векторы атак используют повторяющиеся шаблоны во вводе данных, обработке сессий, правах доступа или неверных конфигурациях.
Решающее значение при этом имеют не столько отдельные меры защиты, сколько процесс, который внедряет безопасность на ранних этапах разработки и эксплуатации. Практический взгляд на типичные уязвимости помогает быстрее выявлять риски в запросах и ответах и последовательно реализовывать контрмеры.
OWASP Top 10 на практике
Живой удаленный воркшоп "ИТ-безопасность для веб-разработчиков" 23-24 июня 2026 года (дополнительная дата: 13-14 октября 2026 года) основан на OWASP Top 10 и сочетает теорию с практическими упражнениями в выделенной тренировочной среде. Участники анализируют типичные уязвимости безопасности, понимают, как их можно использовать, и разрабатывают подходы для эффективного устранения уязвимостей и их предотвращения в будущем.
Безопасная разработка в SSDLC
Особое внимание уделяется жизненному циклу безопасной разработки ПО (SSDLC), чтобы безопасность и защита данных учитывались уже на этапе разработки. Дополнительно рассматривается работа с веб-прокси для систематического тестирования приложений на уязвимости, например, с помощью целенаправленно измененных запросов и анализа ответов приложения.
Распознавание типичных атак
Содержание воркшопа включает, среди прочего, слабую аутентификацию и связанные с ней риски, классические инъекционные атаки, такие как SQL-инъекции, а также межсайтовый скриптинг (XSS) и межсайтовую подделку запросов (CSRF). Другие темы: нарушение контроля доступа, небезопасная конфигурация, а также логирование и мониторинг для лучшего обнаружения атак и аномалий. Также рассматривается использование сканеров безопасности как инструмента для поиска уязвимостей и контроля их устранения. Дополнительно изучаются такие аспекты, как криптографические ошибки, небезопасный дизайн, а также целостность программного обеспечения и данных в контексте современных веб-проектов.
Методы работы и требования
Материал закрепляется с помощью (живых) демонстраций, групповых упражнений и реалистичных примеров из тренировочной среды; кроме того, используются анонимизированные примеры из проектов для связи теории и практики.
Курс предназначен для разработчиков и архитекторов ПО, которые создают или проектируют веб-приложения или (REST-)сервисы; желателен опыт работы хотя бы с одним языком программирования и знание основ веб-разработки (HTML, CSS, JavaScript, а также запросы и ответы). Полезны базовые знания SQL и JavaScript, а также знание инструментов разработчика веб-браузеров. В качестве тренера Павел Савицки (откроется в новом окне) проводит воркшоп и передает знания с помощью упражнений и примеров из веб-разработки.
Курс
Тот, кто до покупки подпишется на бесплатную рассылку Golem Karrierewelt, получит скидку 10 процентов на первый заказ в Golem Karrierewelt.