Безпека WEB-ресурсів
Спеціальність: Управління інформаційною безпекою
Код дисципліни: 7.125.03.O.001
Кількість кредитів: 4.00
Кафедра: Захист інформації
Лектор: канд. фіз.-мат. наук Лах Юрій Володимирович
Семестр: 1 семестр
Форма навчання: денна
Результати навчання: Знати:
• архітектуру протоколів веб-додатків (HTTP, SOAP тощо) - загальні вразливості та слабкі місця, відкриті вразливості баз даних
• аспекти безпеки, що застосовуються в мовах PHP, JavaScripts, SQL тощо
• механізми та методи веб-аутентифікації для автентифікації
• помилки кодування програм (SQL Injection, CSS-атаки тощо)
• Наявні уразливості веб-ресурсів (sql ін'єкції, груба сила, xss тощо) та способи боротьби з ними на етапі проектування та під час роботи. Шаблони дизайну для захищених веб-додатків
• XSS-атаки, SQL-ін'єкції, включаючи вразливості та способи їх усунення. Архітектуру безпеки, типову для веб-служб
• OWASP
Здатність до:
• захисту веб-сервісів від кібератак. Застосування OWASP
• проведення досліджень інформаційної безпеки системи клієнт-сервер
• проведення захисту клієнт-серверів на веб-платформах
Необхідні обов'язкові попередні та супутні навчальні дисципліни: • Робота в інтернет
• Веб-програмування
• Технології програмування
Короткий зміст навчальної програми: Мета курсу - надання знань з веб-безпеки. Студенти отримують практичні навички архітектури протоколів веб-додатків, аспектів уразливості безпеки баз даних PHP, JavaScripts, мов SQL, механізмів веб-аутентифікації та методів аутентифікації, моделювання атак та оцінки ризиків, систем IDS та IPS.
Методи та критерії оцінювання: • усне опитування, домашнє завдання, контрольна робота, оцінка активності студента у процесі занять (50%)
• підсумковий контроль (50 %, контрольний захід, залік): письмово-усна форма (50%)
Рекомендована література: 1. Оглтри Т. Модернизация и ремонт сетей = Upgrading and Repairing Networks — 4-е изд. — М. : Издательский дом “Вильямс”, 2005. — 1328 с.
2. Олифер В.Г., Олифер Н.А. Компютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 4-е изд. — СПб.: Питер, 2010. — 944 с.
3. D. Gourley, B. Totty HTTP: The Definitive Guide. O’Reilly Media, Inc., 2002.
4. D. Stuttard, M. Pinto The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws. John Wiley & Sons, Inc., 2011.
5. Web Application Security Consortium, "Web Security Threat Classification v2.0"
http://projects.webappsec.org/f/WASC-TC-v2_0.pdf
6. Web Application Security Consortium, "Web Security Threat Classification v1.0" http://projects.webappsec.org/Threat-Classification