Версия для слабовидящих

Кафедра
«Информационная безопасность автоматизированных систем» (ИБС)


Новости кафедры











все новости...

Лаборатория программно-аппаратных средств обеспечения информационной безопасности

Кафедра «Информационная безопасность автоматизированных систем» СГТУ имени Гагарина Ю.А. заключила соглашение с ведущей российской компанией в области информационной безопасности Positive Technologies (http://www.ptsecurity.ru). Эксперты компании разработали программу Positive Education, в рамках которой оказывается содействие российским вузам в подготовке кадров в области информационной безопасности. Программа Positive Education — это стенды виртуальных инфраструктур, программные продукты для проведения работ, теоретический материал к практикумам, пошаговое описание лабораторных работ, поддержка и мастер-классы для обучаемых.

Специалистами Positive Technologies разработаны лабораторные практикумы по темам:

  1. «Инструментальный анализ защищенности»,
  2. «Тестирование на проникновение»,
  3. «Анализ безопасности веб-приложений»,
  4. «Применение MaxPatrol в анализе защищенности и соответствия стандартам».

Эти практикумы предусматривают работы по направлениям веб-безопасности (XSS, SQL-инъекции, Remote Code Execution, приемы обхода WAF) и безопасности VoIP (обнаружение VoIP-устройств, атаки на RTP и SIP). Используются и конкурсные материалы международных соревнований по практической безопасности Positive Haсk Days III Capture The Flag, а также материалы Hack Quest и других конкурсов.

В рамках участия в программе, СГТУ предоставлены права на использование системы контроля защищенности MaxPatrol и сканера безопасности XSpider 7.8 в образовательном процессе по специальности «Информационная безопасность автоматизированных систем» (http://www.sstu.ru/node/840). Теперь студенты СГТУ смогут на практике оценить весь спектр возможностей комплекса MaxPatrol: сканирование в режимах PenTest, Audit, Compliance и Forensic, инвентаризацию, поиск уязвимостей, анализ конфигурации различных ОС, телекоммуникационного оборудования, СУБД, ERP-систем, компонентов АСУ ТП.


Лабораторный практикум «Инструментальный анализ защищенности»

Лабораторный практикум представляет собой набор лабораторных работ, которые могут использоваться в рамках курсов по аудиту и анализу защищенности или смежной тематики. Целью работ является получение знаний, необходимых при проведении работ по инструментальному анализу защищенности, навыков использования автоматизированных средств анализа защищенности и сканеров безопасности.

Предварительная подготовка

  • Практический опыт работы с операционными системами Windows.
  • Базовые знания по сетевым технологиям.
  • Представление об информационной безопасности и основах построения защищенных корпоративных систем.

Задача практикума

Задачей практикума является получения знаний и навыков по следующим направлениям:

  • Архитектуре и принципам работы сканеров безопасности.
  • Принципам и способам анализа защищенности информационных инфраструктур.
  • Методикам применения сетевого сканера безопасности XSpider 7.8 для анализа защищённости сети.
  • Управление профилями сканирования и задачами XSpider 7.8.
  • Проведение анализа защищенности узлов на базе различных операционных систем.
  • Использование сканера XSpider 7.8 для анализа защищённости Web-приложений.
  • Использование сканера XSpider 7.8 в процессе тестирования сетей на устойчивость к взлому и тестирования на проникновение.
  • Подготовка отчетов по уровню защищенности информационных инфраструктур.

Лабораторный практикум «Тестирование на проникновение»

Лабораторный практикум представляет собой набор лабораторных работ, которые могут использоваться в рамках курсов по аудиту и анализу защищенности, а также для эффективной подготовки студенческих CTF-команд. Целью работ является получение знаний, необходимых при проведении работ по тестированию на проникновение, навыков анализа защищенности систем и приложений, проведения работ по расследованию компьютерных инцидентов. В основу практикума вошли задания международных соревнований по компьютерной безопасности Positive Hack Days Capture The Flag (http://phdays.ru/ctf/) и таких конкурсов как HackQuest, RusCrypto, «Лучший реверсер».

Предварительная подготовка

  • Практический опыт работы с операционными системами Windows/Linux.
  • Навыки анализа защищенности, поиска и использования уязвимостей информационных систем.
  • Навыки расследования инцидентов.

Задача практикума

Задачей практикума является получения знаний и навыков по нескольким направлениям.

Поиску и анализу уязвимости веб-приложений, включая:

  • ошибки в реализации функций аутентификации;
  • ошибки в реализации функций авторизации и разграничения доступа;
  • атаки на клиентов веб-приложения (включая Cross-Site Scripting, Cross-Site Request Forgery и др.);
  • уязвимости, приводящие к выполнению кода (включая SQL Injection, OS Commanding, XML Injection и др.);
  • разглашение чувствительной информации;
  • ошибки в реализации логики системы;
  • ошибки в настройке приложений и серверов

Поиску и анализу уязвимостей сетевых сервисов:

  • ошибки в реализации функций аутентификации;
  • ошибки в реализации функций авторизации и разграничения доступа;
  • уязвимости, приводящие к выполнению кода (переполнение буфера, стека и т.д.);
  • уязвимости криптографической защиты;
  • ошибки в реализации логики системы;
  • публичные уязвимости для удаленной эксплуатации;
  • ошибки администрирования;
  • использование нестойких паролей.

Поиску и анализу уязвимостей приложений и сценариев автоматизации функций администрирования:

  • ошибки в реализации функций аутентификации;
  • ошибки в реализации функций авторизации и разграничения доступа;
  • уязвимости, приводящие к выполнению кода (переполнение буфера, стека и т.д.);
  • уязвимости криптографической защиты;
  • ошибки в реализации логики системы. 

Расследованию компьютерных инцидентов. 

Реверс-инжинирингу информационных систем и приложений.


Лабораторный практикум «Анализ безопасности веб-приложений»

Лабораторный практикум представляет собой набор лабораторных работ, которые могут использоваться в рамках курсов по аудиту и анализу защищенности. Целью работ является получение знаний и навыков обнаружения  уязвимостей веб-приложений, ручного анализа результатов работы сканеров защищенности веб-приложений, оценки эффективности специализированных средств  защиты, таких как Web Application Firewall.

Предварительная подготовка

  • Практическая работа с операционными системами Windows/Linux

Задача практикума

Задачей практикума является получение базовых знаний и практических навыков по поиску и анализу уязвимостей веб-приложений.

Атаки на клиентов веб-приложения (Cross-Site Scripting):

  • межсайтовое выполнение сценариев в Java/Flash-приложениях;
  • обход фильтров безопасности и Web Application Firewall (WAF).

Уязвимости, приводящие к выполнению кода (SQL Injection):

  • классическая техника эксплуатации уязвимости внедрение операторов SQL (SQL Injection);
  • слепое внедрение операторов SQL (Blind SQL Injection);
  • работа с файловой системой при эксплуатации уязвимости SQL Injection;
  • выполнение команд на сервере при эксплуатации уязвимости SQL Injection;
  • методы обхода программных фильтров безопасности; 
  • методы обхода Web Application Firewall (WAF).

Разбор сложных случаев поиска и анализа уязвимостей в веб-приложениях:

  • уязвимость HTTP Verb Tampering;
  • фрагментированные SQL инъекции;
  • уязвимость HTTP Parameter Pollution;
  • использование обратимого шифрования.

Выполнение команд на сервере (Remote Code Execution):

Загрузка произвольных файлов (Unrestricted File Upload)

Использование локальных файлов (Local File Inclusion)


Лабораторный практикум «Применение MaxPatrol в анализе защищенности и соответствия стандартам»

Лабораторный практикум представляет собой набор лабораторных работ, которые могут использоваться в рамках курсов по аудиту и анализу защищенности или смежной тематики. Целью работ является получение навыков по проведению инструментальной инвентаризации информационной инфраструктуры, аудита защищенности и соответствия настроек объектов анализа заранее определенным стандартам.

Предварительная подготовка

  • Практический опыт работы с операционными системами Windows.
  • Базовые знания по сетевым технологиям.
  • Представление об информационной безопасности и основах построения защищенных корпоративных систем.

Задача практикума

Задачей практикума является получения знаний и навыков по следующим направлениям:

  • Архитектуре и принципам работы сканеров безопасности.
  • Принципам и способам анализа защищенности информационных инфраструктур.
  • Методикам применения сетевого сканера безопасности MaxPatrol для анализа защищённости сети и контроля соответствия стандартам.
  • Управление профилями сканирования и задачами MaxPatrol.
  • Проведение анализа защищенности узлов на базе различных операционных систем.
  • Аудит безопасности узлов на базе различных операционных систем.
  • Обнаружение инцидентов в области информационной безопасности.
  • Подготовка отчетов по уровню защищенности информационных инфраструктур.