5

ECTS

30 sati

Predavanja
Team member six

Sigurnost web i poslužiteljskih aplikacija

Status predmeta: Izborni

Saznajte više o predmetu:
Ciljevi predmeta:

Savladat ćete metode i načine podizanja razine sigurnosti suvremenih poslužiteljskih i web aplikacija. Naučit ćete kako prepoznati česte ranjivosti i načine njihovih otklanjanja. Naučit ćete i osnovne elemente uspostavljanja procesa sigurnog razvoja aplikacija i principe DevSecOps.

Ishodi učenja:

Na razini programa: 

  1. Primijeniti iskustva dobre prakse prilikom uspostave sustava informacijske sigurnosti u poslovnom/ informacijskom sustavu
  2. Analizirati, preporučiti i odabrati sigurnosne zahtjeve prilikom dizajna, razvoja i uspostave sustava informacijske sigurnosti.
  3. Primijeniti metodologije procjene i umanjivanja sigurnosnih rizika, te postupke upravljanja rizicima u kontekstu informacijske sigurnosti
  4. Analizirati, procijeniti i unaprijediti odgovarajuća tehnološka rješenja u uspostavi sustava informacijske sigurnosti. 
  5. Analizirati, razviti, primijeniti i vrednovati metode i načine zaštite resursa informacijskog sustava s ciljem sprečavanja narušavanja njegova integriteta, detekcije neovlaštenih aktivnosti i napada, te uspostave odgovarajućih zaštitnih mjera.

Na razini predmeta:

  1. Kritički prosuđivati klase ranjivosti i metode zaštite aplikacija.
  2. Procijeniti ranjivosti i sigurnosne probleme u sklopu aplikacije.
  3. Osmisliti način zaštite i smanjenja ranjivosti aplikacije.
  4. Organizirati proces razvoja aplikacije sa željenom razinom sigurnosti.
  5. Odabrati između više metoda i pristupa zaštite aplikacije

Kolegij podržava i doprinosi sljedećim e-kompetencijama prema European e-Competence okviru:

  • A.5. Architecture Design
  • A.6. Application Design
  • E.5. Process Improvement

Sadržaj kolegija dijelom odgovara i sljedećim stručnim certifikatima:

  • GIAC Web application penetration tester
  • GIAC Certified web application defender
Sadržaj predmeta:

Uvod u aplikacijsku sigurnost, problem proizvoljnog unosa u aplikaciju, modifikacija kontrole toka i "čudni strojevi" (eng. Weird Machines). Osnove DevSecOps principa.

Sigurnosni propusti u aplikacijama fokusirani na stog i hrpu, propusti u baratanju ulazom i izlazom, Return-oriented programiranje, propusti u baratanju vremenom, propusti u konfiguraciji, sigurnosni problemi zbog krivog podešavanja sustava, implementacijske greške u primjeni kriptosustava, izlaganje i curenje osjetljivih podataka,.

Metode zaštite aplikacija, zabrana izvršavanja (NX/W^X), provjera manipulacije na stogu i hrpi, randomizacija adresnog prostora, izolacija, odvajanje privilegija, kontejnerizacija, potpisivanje koda.

Napadi na web aplikacije: OWASP top 10 klase napada umetanje znakova, problemi sa autentikacijom i upravljanje sesijama, Cross-Site Scripting (XSS), nesiguran direktni pristup objektima, nedostatak kontrole pristupa nad funkcijama, Cross Site Request Forgery (CSRF), korištenje poznatih ranjivih komponenata, neprovjerena usmjeravanja i preusmjeravanja. Napadi na web servise (SOAP, RESTful).

Metode zaštite web aplikacija, filtiranje, separacija, sanitizacija, izolacija, primjena ESAPI-a, primjena aplikacijskih vatrozida. 

Napadi na poslužiteljske aplikacije i infrastrukturu: Napadi na sustave poruka (MQ) i autentikacijske sustave (SSO). Napadi na infrastrukturu računalnog oblaka i kontejnera.

Organizacija sigurnog razvoja programskih proizvoda: recenziranje koda, programiranje u paru, automatizirano testiranje prije implementacije, norme za sigurni razvoj i testiranje, norme za verifikaciju razine sigurnosti.