Sadržaj se učitava...
mdi-home Početna mdi-account-multiple Djelatnici mdi-script Studiji mdi-layers Katedre mdi-calendar-clock Raspored sati FOI Nastava search apps mdi-login
Sigurnost web i poslužiteljskih aplikacija

2020/2021
5 ECTSa
Upravljanje sigurnošću i revizija informacijskih sustava 2.0 (PDSSSRIS)
Katedra za teorijske i primijenjene osnove informacijskih znanosti
NN
1. semestar
Osnovne informacijemdi-information-variant Izvođači nastavemdi-account-group Nastavni plan i programmdi-clipboard-text-outline Model praćenjamdi-human-male-board Ispitni rokovimdi-clipboard-check-outline Rasporedmdi-calendar-clock Konzultacijemdi-account-voice
Izvođenje kolegija
Cilj kolegija
Naučiti polaznike metode i načine podizanja razine sigurnosti suvremenih poslužiteljskih i web aplikacija. Prikazati česte klase ranjivosti i načine neutralizacije ranjivosti koje su vezane uz aplikacijsku sigurnost i mogućnost neovlaštene modifikacije toka izvršavanja aplikacije.
Preduvjeti
Kolegij nema definirane preduvjete
Norma kolegija
Predavanja
20 sati
Seminar
10 sati
Nastavnik Uloga na kolegiju Oblik nastave Tjedana Sati Grupa
Kermek Dragutin Nositelj
Sadržaj predavanja

  • Uvod u aplikacijsku sigurnost, problem proizvoljnog unosa u aplikaciju, modifikacija kontrole toka i %22čudni strojevi%22 (eng. Weird Machines). Osnove DevSecOps principa.

  • Sigurnosni propusti u aplikacijama fokusirani na stog i hrpu, propusti u baratanju ulazom i izlazom, Return-oriented programiranje, propusti u baratanju vremenom, propusti u konfiguraciji, sigurnosni problemi zbog krivog podešavanja sustava, implementacijske greške u primjeni kriptosustava, izlaganje i curenje osjetljivih podataka,.

  • Metode zaštite aplikacija, zabrana izvršavanja (NX/W^X), provjera manipulacije na stogu i hrpi, randomizacija adresnog prostora, izolacija, odvajanje privilegija, kontejnerizacija, potpisivanje koda.

  • Napadi na web aplikacije: OWASP top 10 klase napada umetanje znakova, problemi sa autentikacijom i upravljanje sesijama, Cross-Site Scripting (XSS), nesiguran direktni pristup objektima, nedostatak kontrole pristupa nad funkcijama, Cross Site Request Forgery (CSRF), korištenje poznatih ranjivih komponenata, neprovjerena usmjeravanja i preusmjeravanja. Napadi na web servise (SOAP, RESTful).

  • Metode zaštite web aplikacija, filtiranje, separacija, sanitizacija, izolacija, primjena ESAPI-a, primjena aplikacijskih vatrozida.

  • Napadi na poslužiteljske aplikacije i infrastrukturu: Napadi na sustave poruka (MQ) i autentikacijske sustave (SSO). Napadi na infrastrukturu računalnog oblaka i kontejnera.

  • Organizacija sigurnog razvoja programskih proizvoda: recenziranje koda, programiranje u paru, automatizirano testiranje prije implementacije, norme za sigurni razvoj i testiranje, norme za verifikaciju razine sigurnosti.
Sadržaj seminara/vježbi
Ishodi učenja kolegija
  • Kritički prosuđivati klase ranjivosti i metode zaštite aplikacija
  • Procijeniti ranjivosti i sigurnosne probleme u sklopu aplikacije
  • Osmisliti način zaštite i smanjenja ranjivosti aplikacije
  • Organizirati proces razvoja aplikacije sa željenom razinom sigurnosti
  • Odabrati između više metoda i pristupa zaštite aplikacije
Ishodi učenja programa
  • name to translate
  • name to translate
  • name to translate
  • name to translate
  • name to translate
  • name to translate
  • name to translate
  • name to translate
  • name to translate
  • name to translate
  • name to translate
  • name to translate
  • name to translate
  • name to translate
  • name to translate
  • Primijeniti iskustva dobre prakse prilikom dizajna i implementacije kontrola informacijske sigurnosti u razvoju i implementaciji interneta stvari
  • Analizirati, preporučiti i odabrati sigurnosne zahtjeve prilikom dizajna, razvoja i implementacije IoT rješenja i usluga
  • Primijeniti metodologije procjene i umanjivanja sigurnosnih rizika, te postupke upravljanja rizicima u kontekstu informacijske sigurnosti i zaštite privatnosti
  • Analizirati, procijeniti i unaprijediti odgovarajuća tehnološka i programska rješenja za sigurno IoT okruženje
  • Analizirati, razviti, primijeniti i vrednovati metode i načine zaštite IoT okruženja s ciljem sprečavanja narušavanja njegova integriteta, detekcije neovlaštenih aktivnosti i napada, te uspostave odgovarajućih sigurnosnih kontrola
Osnovna literatura
  • Dowd, Mark, John McDonald, and Justin Schuh. The art of software security assessment: Identifying and preventing software vulnerabilities. Pearson Education, 2006.
  • Chris Anley, John Heasman, Felix Lindner, Gerardo Richarte. The Shellcoder's Handbook: Discovering and Exploiting Security Holes, 2nd edition, Wiley, 2011.
  • Peter Yaworski. Real-World Bug Hunting: A Field Guide to Web Hacking. No Starch Press, 2019.
  • Andrew Hoffman. Web Application Security: Exploitation and Countermeasures for Modern Web Applications, O'Reilly, 2020.
  • Liz Rice. Container Security: Fundamental Technology Concepts that Protect Containerized Application. O'Reilly, 2020.
  • Heather Adkins, Betsy Beyer, Paul Blankinship, Piotr Lewandowski, Ana Oprea, Adam Stubblefield. Building Secure and Reliable Systems: Best Practices for Designing, Implementing, and Maintaining Systems, O'Reilly, 2020.
Dopunska literatura
  • Malcolm McDonald. Web Security for Developers: Real Threats, Practical Defense, No Starch Press; 2020.
  • Sanjib Sinha. Bug Bounty Hunting for Web Security: Find and Exploit Vulnerabilities in Web sites and Applications, Apress, 2019.
  • Harpreet Singh, Himanshu Sharma. Hands-On Web Penetration Testing with Metasploit: The subtle art of using Metasploit 5.0 for web application exploitation. Packt Publishing, 2020.
  • Prema interesima polaznika, jer je vezana uz konkretnu tehnologiju ili programski jezik.
Slični kolegiji
Redoviti studenti Izvanredni studenti
U kalendaru ispod se nalaze konzultacije predmetnih nastavnika, no za detalje o konzultacijama možete provjeriti na profilu pojedinog predmetnog nastavnika.
2024 © Fakultet organizacije i informatike, Centar za razvoj programskih proizvoda