Ви переглядаєте архівну версію офіційного сайту НУЛП (2005-2020р.р.). Актуальна версія: https://lpnu.ua
Безпека WEB-ресурсів
Спеціальність: Безпека інформаційних і комунікаційних систем
Код дисципліни: 7.125.01.E.30
Кількість кредитів: 4
Кафедра: Захист інформації
Лектор: канд. фіз.-мат. наук Лах Юрій Володимирович
Семестр: 2 семестр
Форма навчання: денна
Результати навчання:
Знати:
• архітектуру протоколів веб-додатків (HTTP, SOAP тощо) - загальні вразливості та слабкі місця, відкриті вразливості баз даних
• аспекти безпеки, що застосовуються в мовах PHP, JavaScripts, SQL тощо
• механізми та методи веб-аутентифікації для автентифікації
• помилки кодування програм (SQL Injection, CSS-атаки тощо)
• Наявні уразливості веб-ресурсів (sql ін'єкції, груба сила, xss тощо) та способи боротьби з ними на етапі проектування та під час роботи. Шаблони дизайну для захищених веб-додатків
• XSS-атаки, SQL-ін'єкції, включаючи вразливості та способи їх усунення. Архітектуру безпеки, типову для веб-служб
• OWASP
Здатність до:
• захисту веб-сервісів від кібератак. Застосування OWASP
• проведення досліджень інформаційної безпеки системи клієнт-сервер
• проведення захисту клієнт-серверів на веб-платформах
• архітектуру протоколів веб-додатків (HTTP, SOAP тощо) - загальні вразливості та слабкі місця, відкриті вразливості баз даних
• аспекти безпеки, що застосовуються в мовах PHP, JavaScripts, SQL тощо
• механізми та методи веб-аутентифікації для автентифікації
• помилки кодування програм (SQL Injection, CSS-атаки тощо)
• Наявні уразливості веб-ресурсів (sql ін'єкції, груба сила, xss тощо) та способи боротьби з ними на етапі проектування та під час роботи. Шаблони дизайну для захищених веб-додатків
• XSS-атаки, SQL-ін'єкції, включаючи вразливості та способи їх усунення. Архітектуру безпеки, типову для веб-служб
• OWASP
Здатність до:
• захисту веб-сервісів від кібератак. Застосування OWASP
• проведення досліджень інформаційної безпеки системи клієнт-сервер
• проведення захисту клієнт-серверів на веб-платформах
Необхідні обов'язкові попередні та супутні навчальні дисципліни:
• Робота в інтернет
• Веб-програмування
• Технології програмування
• Веб-програмування
• Технології програмування
Короткий зміст навчальної програми:
Мета курсу - надання знань з веб-безпеки. Студенти отримують практичні навички архітектури протоколів веб-додатків, аспектів уразливості безпеки баз даних PHP, JavaScripts, мов SQL, механізмів веб-аутентифікації та методів аутентифікації, моделювання атак та оцінки ризиків, систем IDS та IPS.
Рекомендована література:
1. Оглтри Т. Модернизация и ремонт сетей = Upgrading and Repairing Networks — 4-е изд. — М. : Издательский дом “Вильямс”, 2005. — 1328 с.
2. Олифер В.Г., Олифер Н.А. Компютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 4-е изд. — СПб.: Питер, 2010. — 944 с.
3. D. Gourley, B. Totty HTTP: The Definitive Guide. O’Reilly Media, Inc., 2002.
4. D. Stuttard, M. Pinto The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws. John Wiley & Sons, Inc., 2011.
5. Web Application Security Consortium, "Web Security Threat Classification v2.0"
http://projects.webappsec.org/f/WASC-TC-v2_0.pdf
6. Web Application Security Consortium, "Web Security Threat Classification v1.0" http://projects.webappsec.org/Threat-Classification
2. Олифер В.Г., Олифер Н.А. Компютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 4-е изд. — СПб.: Питер, 2010. — 944 с.
3. D. Gourley, B. Totty HTTP: The Definitive Guide. O’Reilly Media, Inc., 2002.
4. D. Stuttard, M. Pinto The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws. John Wiley & Sons, Inc., 2011.
5. Web Application Security Consortium, "Web Security Threat Classification v2.0"
http://projects.webappsec.org/f/WASC-TC-v2_0.pdf
6. Web Application Security Consortium, "Web Security Threat Classification v1.0" http://projects.webappsec.org/Threat-Classification
Методи і критерії оцінювання:
• усне опитування, домашнє завдання, оцінка активності студента у процесі занять (35%)
• підсумковий контроль (65 %, контрольний захід, екзамен): письмово-усна форма (65%)
• підсумковий контроль (65 %, контрольний захід, екзамен): письмово-усна форма (65%)