Безпека Web-додатків

Дисципліна включає лекції, лабораторні роботи. Навчальний курс базується на аналізі сучасних загроз безпеки web-ресурсів та методів протидії їм; передбачає тестування на наявність вразливостей web-додатків та web-систем.

Метою викладання навчальної дисципліни «Безпека web-додатків» є формування у студентів знань, умінь i компететностей, необхідних для вирішення задач захисту  web-систем, застосування сучасних процедур для захисту  web-додатків.
Завданнями вивчення навчальної дисципліни є формування теоретичних знань та практичних умінь у сфері забезпечення безпеки web-ресурсів, в тому числі:
– знати основні вразливості web-систем;
– вміти аналізувати, виявляти та оцінювати можливі загрози, вразливості web-систем;
– вміти розробляти політики безпеки web-систем;
– вміти забезпечувати захист програм, баз даних та інформації, що обробляється у web-системах;
– вміти забезпечувати безперервну працездатність web-систем;
– вміти вирішувати задачі забезпечення та супроводу, в тому числі: огляд, тестування web-систем на вразливості;
– вміти управляти процедурами ідентифікації, аутентифікації, авторизації користувачів у web-системах;
– вміти реалізовувати заходи з протидії отриманню несанкціонованого доступу до інформації у web-системах.

Вирішувати завдання захисту програм та інформації, що обробляється в інформаційно-телекомунікаційних системах програмно-апаратними засобами та давати оцінку результативності якості прийнятих рішень;
Застосовувати теорії та методи захисту для забезпечення безпеки інформації в інформаційно-телекомунікаційних системах;
Вирішувати задачі забезпечення та супроводу (в т.ч.: огляд, тестування, підзвітність) системи управління доступом згідно встановленої політики безпеки в інформаційних та інформаційно-телекомунікаційних (автоматизованих) системах;
Вирішувати задачі управління процедурами ідентифікації, автентифікації, авторизації процесів і користувачів в інформаційно-телекомунікаційних системах згідно встановленої політики інформаційної і\або кібербезпеки;
Реалізовувати заходи з протидії отриманню несанкціонованого доступу до інформаційних ресурсів і процесів в інформаційних та інформаційно-телекомунікаційних (автоматизованих) системах;
Вирішувати задачі управління доступом до інформаційних ресурсів та процесів в інформаційних та інформаційно-телекомунікаційних (автоматизованих) системах на основі моделей управління доступом (мандатних, дискреційних, рольових).
Вирішувати задачі забезпечення безперервності бізнес процесів організації на основі теорії ризиків;
Вирішувати задачі аналізу програмного коду на наявність можливих загроз.
 

Тема 1. Web-системи: вразливості, моделі загроз та безпеки.
Тема 2. Аутентифікація. Управління сесіями. Контроль доступу.
Тема 3. Вразливості web-додатків.
Тема 4. DoS-атаки.
Тема 5. Розкриття інформації.
Тема 6. Тестування web-додатків.
Тема 7. Безпечне програмування.
Тема 8. Економіка web-безпеки.
 

Робота на лекційних заняттях – 0 балів, Виконання та захист лабораторних робіт – 50 балів,  Самостійна робота – 10 балів. Модульні контрольні роботи – 40 балів. Разом – 100 балів. Підсумковий контроль - 100 балів. Підсумкове оцінювання здійснюється або за результатами роботи здобувача вищої освіти впродовж усього семестру (сумарна оцінка), або за результатами здачі підсумкового контролю (підсумкове тестування). До складання підсумкового контролю допускаються здобувачі вищої освіти, які отримали не менше 50 балів за результатами поточної успішності та виконали всі ЛР.