Безопасность интернет-приложений

Цель курса — Изучение основ анализа безопасности интернет-приложений.
Получение навыков разработки безопасной архитектуры программного обеспечения.
Владение современными инструментами аудита безопасности.

После прохождения курса студенты освоят:

— общие знания относительно рисков, сопровождающих современные интернет-приложения

— методики анализа безопасности клиент-серверных приложений

— методики анализа кода

— архитектурный анализ

— практики разработки защищенных приложений

Подробнее

Курс состоит из девяти лекций, двух практических занятий, двух практических заданий и одного зачета.

На протяжении всего семестра за определенные виды работ, выполняемые студентами, выставляются баллы. Итоговый рейтинг по дисциплине представляет собой сумму баллов, полученных студентом за прохождение контрольных точек – рубежных контролей, домашних заданий, защиты итогового проекта. Важное условие — своевременное выполнение работ.


Для успешной аттестации по данному курсу студентам необходимо набрать пороговый рейтинг — 40 баллов.

При пересчете баллов студенты могут получить итоговую оценку: 0–39 неудовлетворительно, 40–59 удовлетворительно , 60–79 хорошо (сдача итогового проекта+хотя бы 2 РК), 80–100 отлично (сдача итогового проекта+все РК)

Подробнее

Преподаватели

Сергей Прилуцкий Сергей Прилуцкий

Преподаватель курса "Безопасность интернет-приложений (3 семестр)" '">SPAMMERS MUSTDIE

Николай Ермишкин Николай Ермишкин

Аналитик информационной безопасности в Mail.Ru. Взламываю сайты, участвую в баг баунти, CTF.

Программа

занятие Часы в ауд. + сам. работа

Лекция №1: Введение. Атаки на сетевую инфраструктуру  

Цели, задачи, структура курса

Истоическая справка

Современный рынок киберпреступности

Краткий обзор современных архитектур с точки зрения ИБ

Краткий обзор процесса развития информационных атак и каналов передачи информации
4 часа + 3 часа СР

Лекция №2: Анализ распространенных web-уязвимостей  

Классификация web-уязвимостей

Векторы атаки

Рассмотрение основных типов web-уязвимостей

Сценарии атак

Методы защиты

4 часа + 3 часа СР

Лекция №3: Продолжение анализа web-уязвимостей. Прикладные аспекты  

Поиск уязвимостей

Программные средства для проведения аудита безопасности web-сервисов, демонстрация их использования

4 часа + 2 часа СР

Семинар №1: Аудит безопасности реального web-сервиса  

Проведение аудита безопасности реального web-сервиса

Поиск и эксплуатация реальных уязвимостей

4 часа + 3 часа СР

Рубежный контроль №1: Аудит безопасности реального web-сеервиса  

Аудит безопасности предложенного преподавателем web-сервиса
4 часа + 3 часа СР

Лекция №4: Обеспечение безопасности современных web-сервисов с точки зрения разработчика и администратора. Практические кейзы  

Нежелательный контент и злонамеренное использование web-сервисов

Архитектура систем фильтрации

Репутационные системы

Авторегистрация, боты и автоматизированная генерация контента

DoS, DDoS и методы защиты от них

Rate limiting

Расследование инцидентов

Реальные кейзы атак и архитектуры сервисов для защиты данных пользователей.

4 часа + 3 часа СР

Лекция №5: Безопасность исполняемого кода. Антивирусные технологии  

Антивирусная безопасность

Скрытное проникновение в информационные системы и методы детектирования

Компьютерные вирусы и скрытый вредоносный код

Форматы исполняемых файлов

Внедрение и сокрытие исполняемого кода

Детектирование скрытого вредоносного кода.

4 часа + 2 часа СР

Лекция №6: Безопасность исполняемого кода. Уязвимости бинарных приложений  

Уязвимости бинарных приложений

Типы переполнений и их эксплуатация

Исследование исполняемого кода с целью восстановления или модификации алгоритма

Защита от исследования кода, коммерческие защиты ПО

Взлом игровых приложений


4 часа + 3 часа СР

Семинар №2: Реверс инжиниринг  

Исследование и модификация исполняемого кода

Демонстрация инструментальных средств
4 часа + 2 часа СР

Рубежный контроль №2: Реверс инжиниринг  

Контрольное занятие

Исследование и восстановление алгоритма предложенного преподавателем ПО


4 часа + 2 часа СР

Лекция №7: Введение в криптографию. Симметричные криптосистемы  

Введение в криптографию

Симметричные криптосистемы

Блочные и поточные шифры

Популярные симметричные шифры

Генераторы псевдослучайных последовательностей

Практические аспекты симметричных криптоалгоритмов, их практическое использование

4 часа + 2 часа СР

Лекция №8: Криптография. Ассиметричные криптосистемы  

Ассиметричные криптосистемы

Односторонние функции и электронная подпись

Современные ассиметричные криптопротоколы

Электронные платежные системы

Использование ассиметричных криптопротоколов для решения практических задач

4 часа + 2 часа СР

Лекция №9: Криптография. Современные криптопротоколы и архитектуры  

Современные архитектуры обеспечения безопасности с точки зрения криптоаналитика

Гибридные криптосистемы

Квантовая криптография

Общие вопросы криптостойкости современных алгоритмов и перспективы развития
4 часа

Рубежный контроль №3: Зачёт по криптографии  

Зачёт по трём предыдущим лекциям
4 часа + 2 часа СР