FOI nastava
FOI logo

Lista kolegija iz:

ak.god:
2016/2017
semestar:
Izborni kolegiji

2016/2017

5ECTSa

Specijalistički

Upravljanje sigurnošću i revizijom informacijskih sustava v2.0

Program Obavezan
Upravljanje sigurnošću i revizijom informacijskih sustava USRIS Ne
Izborni kolegij

Sigurnost web i poslužiteljskih aplikacija npp:164075

Engleski naziv

Sigurnost web i poslužiteljskih aplikacija

Katedra

Katedra za gospodarstvo

Cilj kolegija

Naučiti polaznike metode i načine podizanja razine sigurnosti suvremenih poslužiteljskih i web aplikacija. Prikazati česte klase ranjivosti i načine neutralizacije ranjivosti koje su vezane uz aplikacijsku sigurnost i mogućnost neovlaštene modifikacije toka izvršavanja aplikacije.

Nastava

Predavanje
20sati
Seminar
10sati

Ishodi učenja predmeta

  • Evaluirati između više metoda i pristupa zaštite aplikacije
  • Identificirati i evaluirati ranjivosti i sigurnosne probleme u sklopu aplikacije
  • Organizirati pristup razvoju aplikacije koji uključuje razvoj aplikacije sa željenom razinom sigurnosti
  • Osmisliti način zaštite i smanjenja ranjivosti aplikacije
  • Razumjeti klase ranjivosti i metode zaštite aplikacija

Ishodi učenja programa

  • Analizirati, preporučiti i odabrati sigurnosne zahtjeve prilikom dizajna, razvoja i uspostave sustava informacijske sigurnosti.name to translate
  • Analizirati, procijeniti i unaprijediti odgovarajuća tehnološka rješenja u uspostavi sustava informacijske sigurnosti.name to translate
  • Analizirati, razviti, primijeniti i vrednovati metode i načine zaštite resursa informacijskog sustava s ciljem sprečavanja narušavanja njegova integriteta, detekcije neovlaštenih aktivnosti i napada, te uspostave odgovarajućih zaštitnih mjera.name to translate
  • Primijeniti iskustva dobre prakse prilikom uspostave sustava informacijske sigurnosti u poslovnom/informacijskom sustavu.name to translate
  • Primijeniti metodologije procjene i umanjivanja sigurnosnih rizika, te postupke upravljanja rizicima u kontekstu informacijske sigurnosti.name to translate

Sadržaj predavanja

  • Uvod u aplikacijsku sigurnost, problem proizvoljnog unosa u aplikaciju, modifikacija kontrole toka i %22čudni strojevi%22 (eng. Weird Machines)
  • Sigurnosni propusti u aplikacijama fokusirani na stog i hrpu, propusti u baratanju ulazom i izlazom, Return-oriented programiranje, propusti u baratanju vremenom, propusti u konfiguraciji, sigurnosni problemi zbog krivog podešavanja sustava, implementacijske greške u primjeni kriptosustava, izlaganje i curenje osjetljivih podataka
  • Metode zaštite aplikacija, zabrana izvršavanja (NX/W^X), provjera manipulacije na stogu i hrpi, randomizacija adresnog prostora, izolacija, odvajanje privilegija, kontejnerizacija, potpisivanje koda
  • Napadi na web aplikacije: OWASP top 10 klase napada umetanje znakova, problemi sa autentikacijom i upravljanje sesijama, Cross-Site Scripting (XSS), nesiguran direktni pristup objektima, nedostatak kontrole pristupa nad funkcijama, Cross Site Request Forgery (CSRF), korištenje poznatih ranjivih komponenata, neprovjerena usmjeravanja i preusmjeravanja
  • Metode zaštite web aplikacija, filtiranje, separacija, sanitizacija, izolacija, primjena ESAPI-a, primjena aplikacijskih vatrozida.
  • Organizacija sigurnog razvoja programskih proizvoda: recenziranje koda, programiranje u paru, automatizirano testiranje prije implementacije, norme za sigurni razvoj i testiranje, norme za verifikaciju razine sigurnosti
Nema podataka o izvođačima nastave
Nema definiranih ispitnih rokova
Nema podataka o rasporedu
Copyright © 2015 FOI Varaždin. All Rights Reserved. Sva prava pridržana.
Povratak na vrh