Обучение

Сообщение об ошибке

Обучение

Сообщение об ошибке

Познавание мира IT методом поломок: «Тестирование безопасности веб-приложений» глазами выпускника

31 марта 2022

Сегодня веб активно вошел во все сферы нашей жизни: оплаты картами, интернет-магазины, онлайн-заметки, почта, социальные сети и даже «умные» холодильники с пылесосами все связано веб-приложениями. По мере увеличения числа приложений растет и количество желающих завладеть нечестным способом личной или коммерческой информацией. 

Если еще в 2010-х годах в приложениях были три основные уязвимости, которые все знали и обходили, то сейчас их намного больше. И найти проблему самостоятельно иногда просто невозможно. Из этого можно сделать вывод вопрос безопасности с каждым годом становится все актуальнее. Ведь чем сильнее веб-структура, тем сильнее развиваются способы в ее проникновение и тем лучше ее нужно защищать.

А как не слить бюджет компании, сделать качественный продукт и при этом защитить данные клиентов, читай в интервью с Игорем Савастюком  выпускником курса «Тестирование безопасности веб-приложений».


Игорь, расскажи об угрозах в интернете правда, что любое веб-приложение содержит в себе баги?

Любые приложения, которые выходят в интернет, есть в открытом доступе и имеют массовую посещаемость, могут содержать в себе баги. Благодаря этим багам злоумышленники запросто могут получить доступ к ресурсам, зайти на сервер или сеть, на котором сервер находится. Также есть вероятность, что хакеры изменят веб-приложение либо скомпрометируют обращение других пользователей например, подменят страницы, перехватят запросы или получат личные данные.

А можно избежать этих угроз?

Определенно да, если точно быть уверенным, где находятся пробелы и уязвимости веб-приложений. Я узнал много полезной информации на курсе «Тестирование безопасности веб-приложений», преподаватель Кира Комолова. Этот курс как раз дал мне четкое понимание, где могут находиться всевозможные слабые места, какие существуют угрозы, как ими можно воспользоваться и, конечно, как от них защититься.

В чем парадокс изучения безопасности веб-приложений?

У безопасности, как и у медали, есть две стороны. Если говорить авантюрным языком, то параллельно тому, как защищаться, вообще-то учишься и взламывать. И взламывать, как ни странно, тоже важно, так как без этих навыков невозможно понять, какие уязвимости и пробелы есть в приложении. Другими словами, только если точно знать, где «дыры», можно понять, как защитить веб-приложение.

Расскажи о курсе «Тестирование безопасности веб-приложений», чем он тебя зацепил?

«Тестирование безопасности» это пятый курс по счету, который я прохожу. То, чего я не видел на других курсах, решение домашних заданий методом квеста. Везде как: есть задание, где надо что-то  настроить, оптимизировать, или код, который нужно написать. После этого преподаватель оценивает правильность и эффективность выполнения работы. Стандартная процедура.

На этом курсе все по-другому и задание очень четкое найти определенный флаг: ученикам изначально дается ряд ребусов, которые необходимо решить до окончания курса. И пока этот флаг не найдешь не получишь определенный результат. Кстати задания идут от простого к сложному и способов их решения много. Однако ответ только один, и его нужно найти любыми путями.


Инструментарий специалиста по безопасности

Большой плюс в том, что такие задания в формате квеста мотивируют и заряжают на результат. Просто представь ты решил первое задание, нашел выход во втором, у тебя появилось вдохновение и вера в себя от того, что все получается. Да вроде и тема легкая. А потом ты упираешься в сложные задачи и работа останавливается. Но ты уже набрал разгон и «словил» азарт. От этого невозможно остановиться, а, наоборот, с еще большей силой хочется дойти до конца. Даже занимаясь другими делами или находясь на работе, ты продумываешь варианты решения задачи.

На других курсах студенты просто делают домашку, кто-то даже пытается схалявить. А здесь домашнюю работу именно хочется делать. Ведь каждая задача это головоломка, которая построена не только на знании, но и на логике. Это круто.

К тому же такой квест не требует постоянного контроля тренера.  Сделал верно задачу можно быть спокойным.

В чем еще преимущества курса глазами студента?

Помимо интересных заданий в виде квеста, я могу выделить следующее: 

1. Курс включает в себя сразу несколько направлений. Это и тестирование, и программирование, аналитика и даже системное администрирование. Здесь нельзя быть кем-то одним. Нужно уметь делать все и сразу, хотя бы по чуть-чуть.

2. Тренер курса Кира Комолова прекрасный, эрудированный в своей профессии и смежных областях человек. Она очень четко и доходчиво объясняет материал. К тому же, я не замечал, чтобы в группе оставались подвешенные вопросы. На все мы получили ответ.

3. Комфортная мини-группа до 15 человек. Внимание тренера хватало каждому.

4. Удобный формат работы с домашними заданиями. Под курс написана платформа для тренинга, где можно «ломать» сайт, БД и применять различные инструменты абсолютно законно. Это помогает понять, как все устроено и как работают приложения.

5. Познавание мира веб-приложений методом поломок. Когда мы пишем код, мы что-то строим. Но для того, чтобы его защитить, код надо поломать. И у нас есть ресурсы для этого. Не знаю, как у девчонок, а у мальчишек это в генах заложено познавание мира методом поломок. На курсе это особенно цепляет.


Подойдет ли курс начинающим айтишникам?

Определенно нет. Перед курсом я проходил технический тест, пожимал плечами и недоумевал, зачем нужны такие вопросы для старта курса. Оказывается, нужны. С нуля обучиться этой профессии невозможно. База определенно важна и желательно хорошая, иначе придется на ходу доучивать многие вещи самостоятельно. Предположим, есть уязвимость, которая касается базы данных. Если не знать хотя бы основ БД, то ни за что невозможно понять, как защититься от этой уязвимости. Берем саму веб-страницу — здесь тоже необходимо знание построения страницы (DOM, HTML, CSS). К тому же уязвимости касаются любой сферы: будь то внедренный код JavaScript или использование PHP. Поэтому начинающему уж точно никак. Он просто не поймет.

Хорошо, для вайтишников курс не подойдет. А какую специальность нужно освоить вначале, чтобы стать на стражу веб-безопасности?

В первую очередь, курс подойдет и, я считаю, просто необходим веб-разработчикам. И не менее важен курс «Тестирование безопасности веб-приложений» конкретно для фронтенд и бэкенд-разработчиков. Ведь если не знать элементарных методик безопасности и применения обхождения преступности, специалист будет писать уязвимый код и, соответственно, делать незащищенный продукт. А это все скажется как на репутационных рисках, так и на денежных средствах компании. Также курс подойдет сисадминам, которые работают с веб-приложениями и поддерживают инфраструктуру.

Вот этим специалистам я бы однозначно рекомендовал курс. Это must have.


Инструментарий специалиста по безопасности

Почему специалисты по безопасности так важны компаниям?

Если компания ответственная и делает серьезные проекты, то безопасники это та узкоспециализированная единица, которая определенно должна быть. Именно эти специалисты тестируют и проверяют на уязвимости весь веб-продукт, который выходит на продакшн. Я считаю, что специалист по безопасности это тот необходимый специалист, который должен быть в каждой крупной компании.


А если хочешь записаться на курс, то переходи по ссылке.



Полная, частичная перепечатка или любое иное использование материалов с сайта IT-Academy разрешается только с указанием активной гиперссылки, ведущей на первоисточник (точный адрес страницы на www.it-academy.by).