FOI Nastava - Sigurnost web i poslužiteljskih aplikacija

Sadržaj se učitava...

FOI Nastava

apps

mdi-login

Sigurnost web i poslužiteljskih aplikacija

2024/2025

5 ECTSa

Upravljanje sigurnošću i revizija informacijskih sustava 2.0 (PDSSSRIS)

Katedra za teorijske i primijenjene osnove informacijskih znanosti

1. semestar

Osnovne informacijemdi-information-variant

Izvođači nastavemdi-account-group

Nastavni plan i programmdi-clipboard-text-outline

Model praćenjamdi-human-male-board

Ispitni rokovimdi-clipboard-check-outline

Rasporedmdi-calendar-clock

Konzultacijemdi-account-voice

Izvođenje kolegija

Studij	Studijski program	Semestar	Obavezan
Upravljanje sigurnošću i revizija informacijskih sustava 2.0 (PDSSSRIS)		2	izborni
Upravljanje sigurnošću i revizija informacijskih sustava 2.0 (PDSSSRIS)		1	izborni

Cilj kolegija

Naučiti polaznike metode i načine podizanja razine sigurnosti suvremenih poslužiteljskih i web aplikacija. Prikazati česte klase ranjivosti i načine neutralizacije ranjivosti koje su vezane uz aplikacijsku sigurnost i mogućnost neovlaštene modifikacije toka izvršavanja aplikacije.

Preduvjeti

Kolegij nema definirane preduvjete

Norma kolegija

Predavanja

20 sati

Seminar

10 sati

Nastavnik	Uloga na kolegiju	Oblik nastave	Tjedana	Sati	Grupa
Kermek Dragutin	Nositelj

Sadržaj predavanja

Uvod u aplikacijsku sigurnost, problem proizvoljnog unosa u aplikaciju, modifikacija kontrole toka i %22čudni strojevi%22 (eng. Weird Machines). Osnove DevSecOps principa.
Sigurnosni propusti u aplikacijama fokusirani na stog i hrpu, propusti u baratanju ulazom i izlazom, Return-oriented programiranje, propusti u baratanju vremenom, propusti u konfiguraciji, sigurnosni problemi zbog krivog podešavanja sustava, implementacijske greške u primjeni kriptosustava, izlaganje i curenje osjetljivih podataka,.
Metode zaštite aplikacija, zabrana izvršavanja (NX/W^X), provjera manipulacije na stogu i hrpi, randomizacija adresnog prostora, izolacija, odvajanje privilegija, kontejnerizacija, potpisivanje koda.
Napadi na web aplikacije: OWASP top 10 klase napada umetanje znakova, problemi sa autentikacijom i upravljanje sesijama, Cross-Site Scripting (XSS), nesiguran direktni pristup objektima, nedostatak kontrole pristupa nad funkcijama, Cross Site Request Forgery (CSRF), korištenje poznatih ranjivih komponenata, neprovjerena usmjeravanja i preusmjeravanja. Napadi na web servise (SOAP, RESTful).
Metode zaštite web aplikacija, filtiranje, separacija, sanitizacija, izolacija, primjena ESAPI-a, primjena aplikacijskih vatrozida.
Napadi na poslužiteljske aplikacije i infrastrukturu: Napadi na sustave poruka (MQ) i autentikacijske sustave (SSO). Napadi na infrastrukturu računalnog oblaka i kontejnera.
Organizacija sigurnog razvoja programskih proizvoda: recenziranje koda, programiranje u paru, automatizirano testiranje prije implementacije, norme za sigurni razvoj i testiranje, norme za verifikaciju razine sigurnosti.

Sadržaj seminara/vježbi

Ishodi učenja kolegija

Kritički prosuđivati klase ranjivosti i metode zaštite aplikacija
Procijeniti ranjivosti i sigurnosne probleme u sklopu aplikacije
Osmisliti način zaštite i smanjenja ranjivosti aplikacije
Organizirati proces razvoja aplikacije sa željenom razinom sigurnosti
Odabrati između više metoda i pristupa zaštite aplikacije

Ishodi učenja programa

name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
Primijeniti iskustva dobre prakse prilikom dizajna i implementacije kontrola informacijske sigurnosti u razvoju i implementaciji interneta stvari
Analizirati, preporučiti i odabrati sigurnosne zahtjeve prilikom dizajna, razvoja i implementacije IoT rješenja i usluga
Primijeniti metodologije procjene i umanjivanja sigurnosnih rizika, te postupke upravljanja rizicima u kontekstu informacijske sigurnosti i zaštite privatnosti
Analizirati, procijeniti i unaprijediti odgovarajuća tehnološka i programska rješenja za sigurno IoT okruženje
Analizirati, razviti, primijeniti i vrednovati metode i načine zaštite IoT okruženja s ciljem sprečavanja narušavanja njegova integriteta, detekcije neovlaštenih aktivnosti i napada, te uspostave odgovarajućih sigurnosnih kontrola

Osnovna literatura

Dowd, Mark, John McDonald, and Justin Schuh. The art of software security assessment: Identifying and preventing software vulnerabilities. Pearson Education, 2006.
Chris Anley, John Heasman, Felix Lindner, Gerardo Richarte. The Shellcoder's Handbook: Discovering and Exploiting Security Holes, 2nd edition, Wiley, 2011.
Peter Yaworski. Real-World Bug Hunting: A Field Guide to Web Hacking. No Starch Press, 2019.
Andrew Hoffman. Web Application Security: Exploitation and Countermeasures for Modern Web Applications, O'Reilly, 2020.
Liz Rice. Container Security: Fundamental Technology Concepts that Protect Containerized Application. O'Reilly, 2020.
Heather Adkins, Betsy Beyer, Paul Blankinship, Piotr Lewandowski, Ana Oprea, Adam Stubblefield. Building Secure and Reliable Systems: Best Practices for Designing, Implementing, and Maintaining Systems, O'Reilly, 2020.

Dopunska literatura

Malcolm McDonald. Web Security for Developers: Real Threats, Practical Defense, No Starch Press; 2020.
Sanjib Sinha. Bug Bounty Hunting for Web Security: Find and Exploit Vulnerabilities in Web sites and Applications, Apress, 2019.
Harpreet Singh, Himanshu Sharma. Hands-On Web Penetration Testing with Metasploit: The subtle art of using Metasploit 5.0 for web application exploitation. Packt Publishing, 2020.
Prema interesima polaznika, jer je vezana uz konkretnu tehnologiju ili programski jezik.

Slični kolegiji

Redoviti studenti

Izvanredni studenti

U kalendaru ispod se nalaze konzultacije predmetnih nastavnika, no za detalje o konzultacijama možete provjeriti na profilu pojedinog predmetnog nastavnika.