Upravljanje sigurnošću i revizija informacijskih sustava 2.0 (PDSSSRIS)
Katedra za teorijske i primijenjene osnove informacijskih znanosti
NN
1. semestar
Osnovne informacijemdi-information-variantIzvođači nastavemdi-account-groupNastavni plan i programmdi-clipboard-text-outlineModel praćenjamdi-human-male-boardIspitni rokovimdi-clipboard-check-outlineRasporedmdi-calendar-clockKonzultacijemdi-account-voice
Naučiti polaznike metode i načine podizanja razine sigurnosti suvremenih poslužiteljskih i web aplikacija. Prikazati česte klase ranjivosti i načine neutralizacije ranjivosti koje su vezane uz aplikacijsku sigurnost i mogućnost neovlaštene modifikacije toka izvršavanja aplikacije.
Uvod u aplikacijsku sigurnost, problem proizvoljnog unosa u aplikaciju, modifikacija kontrole toka i %22čudni strojevi%22 (eng. Weird Machines). Osnove DevSecOps principa.
Sigurnosni propusti u aplikacijama fokusirani na stog i hrpu, propusti u baratanju ulazom i izlazom, Return-oriented programiranje, propusti u baratanju vremenom, propusti u konfiguraciji, sigurnosni problemi zbog krivog podešavanja sustava, implementacijske greške u primjeni kriptosustava, izlaganje i curenje osjetljivih podataka,.
Metode zaštite aplikacija, zabrana izvršavanja (NX/W^X), provjera manipulacije na stogu i hrpi, randomizacija adresnog prostora, izolacija, odvajanje privilegija, kontejnerizacija, potpisivanje koda.
Napadi na web aplikacije: OWASP top 10 klase napada umetanje znakova, problemi sa autentikacijom i upravljanje sesijama, Cross-Site Scripting (XSS), nesiguran direktni pristup objektima, nedostatak kontrole pristupa nad funkcijama, Cross Site Request Forgery (CSRF), korištenje poznatih ranjivih komponenata, neprovjerena usmjeravanja i preusmjeravanja. Napadi na web servise (SOAP, RESTful).
Metode zaštite web aplikacija, filtiranje, separacija, sanitizacija, izolacija, primjena ESAPI-a, primjena aplikacijskih vatrozida.
Napadi na poslužiteljske aplikacije i infrastrukturu: Napadi na sustave poruka (MQ) i autentikacijske sustave (SSO). Napadi na infrastrukturu računalnog oblaka i kontejnera.
Organizacija sigurnog razvoja programskih proizvoda: recenziranje koda, programiranje u paru, automatizirano testiranje prije implementacije, norme za sigurni razvoj i testiranje, norme za verifikaciju razine sigurnosti.
Sadržaj seminara/vježbi
Ishodi učenja kolegija
Kritički prosuđivati klase ranjivosti i metode zaštite aplikacija
Procijeniti ranjivosti i sigurnosne probleme u sklopu aplikacije
Osmisliti način zaštite i smanjenja ranjivosti aplikacije
Organizirati proces razvoja aplikacije sa željenom razinom sigurnosti
Odabrati između više metoda i pristupa zaštite aplikacije
Ishodi učenja programa
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
name to translate
Primijeniti iskustva dobre prakse prilikom dizajna i implementacije kontrola informacijske sigurnosti u razvoju i implementaciji interneta stvari
Analizirati, preporučiti i odabrati sigurnosne zahtjeve prilikom dizajna, razvoja i implementacije IoT rješenja i usluga
Primijeniti metodologije procjene i umanjivanja sigurnosnih rizika, te postupke upravljanja rizicima u kontekstu informacijske sigurnosti i zaštite privatnosti
Analizirati, procijeniti i unaprijediti odgovarajuća tehnološka i programska rješenja za sigurno IoT okruženje
Analizirati, razviti, primijeniti i vrednovati metode i načine zaštite IoT okruženja s ciljem sprečavanja narušavanja njegova integriteta, detekcije neovlaštenih aktivnosti i napada, te uspostave odgovarajućih sigurnosnih kontrola
Osnovna literatura
Dowd, Mark, John McDonald, and Justin Schuh. The art of software security assessment: Identifying and preventing software vulnerabilities. Pearson Education, 2006.
Chris Anley, John Heasman, Felix Lindner, Gerardo Richarte. The Shellcoder's Handbook: Discovering and Exploiting Security Holes, 2nd edition, Wiley, 2011.
Peter Yaworski. Real-World Bug Hunting: A Field Guide to Web Hacking. No Starch Press, 2019.
Andrew Hoffman. Web Application Security: Exploitation and Countermeasures for Modern Web Applications, O'Reilly, 2020.
Liz Rice. Container Security: Fundamental Technology Concepts that Protect Containerized Application. O'Reilly, 2020.
Heather Adkins, Betsy Beyer, Paul Blankinship, Piotr Lewandowski, Ana Oprea, Adam Stubblefield. Building Secure and Reliable Systems: Best Practices for Designing, Implementing, and Maintaining Systems, O'Reilly, 2020.
Dopunska literatura
Malcolm McDonald. Web Security for Developers: Real Threats, Practical Defense, No Starch Press; 2020.
Sanjib Sinha. Bug Bounty Hunting for Web Security: Find and Exploit Vulnerabilities in Web sites and Applications, Apress, 2019.
Harpreet Singh, Himanshu Sharma. Hands-On Web Penetration Testing with Metasploit: The subtle art of using Metasploit 5.0 for web application exploitation. Packt Publishing, 2020.
Prema interesima polaznika, jer je vezana uz konkretnu tehnologiju ili programski jezik.
Slični kolegiji
Redoviti studentiIzvanredni studenti
U kalendaru ispod se nalaze konzultacije predmetnih nastavnika, no za detalje o konzultacijama možete provjeriti na profilu pojedinog predmetnog nastavnika.