Cilj i ishod predmeta
Sticanje znanja i veština u oblasti testiranja i bezbednosti veb servisa. Upoznavanje sa različitim tehnikama i alatima za testiranje bezbednosnih aspekata veb aplikacija i servisa. Po završetku kursa, student će biti u mogućnosti da identifikuje i analizira bezbednosne slabosti u veb servisima, razume osnove veb komunikacije i primeni odgovarajuće mere zaštite. Student će takođe biti osposobljen da sprovede testove za otkrivanje ranjivosti kao što su XSS, SQL injekcije, i drugi napadi, i da predloži rešenja za njihovo ublažavanje.
Teorijska nastava
Osnove veb komunikacije: Protokoli i mehanizmi komunikacije na vebu. Uvod u HTTP i HTTPS. HTTP autentifikacija i cookies: Načini autentifikacije i uloga cookies-a u sesijama i praćenju korisnika.
Bezbednosni rizici i napadi:
- Prisluškivanje i krađa cookie-a: Tehnike i mere zaštite.
- HTTPS: Prednosti i ograničenja u zaštiti podataka.
- Man-in-the-Middle napadi: Prepoznavanje i zaštita.
- XSS (Cross-Site Scripting) napadi: Principi, vrste i zaštita.
- SQL Injection: Kako funkcioniše i kako se zaštititi.
- DDOS napadi: Tipovi i strategije odbrane.
- Broken Access Control: Uočavanje i ispravljanje propusta u kontroli pristupa.
- Cryptographic Failures: Oštećenja u kriptografskim protokolima i njihove posledice.
- Server-Side Request Forgery (SSRF): Mehanizam i rizici.
- Web Parameter Tampering: Manipulacija parametrima i mere zaštite.
- Code Injection: Metode ubacivanja zlonamernog koda i zaštita.
Praktična nastava
Praktična nastava obuhvata simulaciju i testiranje bezbednosnih napada i mera zaštite na veb servisima. Studenti će raditi na stvarnim primerima i koristiti alate za testiranje veb bezbednosti kao što su Burp Suite, OWASP ZAP i drugi. Vežbe će uključivati konfiguraciju sigurnosnih postavki, detekciju i analizu ranjivosti, kao i predloge za njihovo ublažavanje, sa fokusom na primenu teoretskih znanja u realnim scenarijima.