Циљ и исход предмета
Стицање знања и вештина у области тестирања и безбедности веб сервиса. Упознавање са различитим техникама и алатима за тестирање безбедносних аспеката веб апликација и сервиса. По завршетку курса, студент ће бити у могућности да идентификује и анализира безбедносне слабости у веб сервисима, разуме основе веб комуникације и примени одговарајуће мере заштите. Студент ће такође бити оспособљен да спроведе тестове за откривање рањивости као што су XSS, SQL инјекције, и други напади, и да предложи решења за њихово ублажавање.
Теоријска настава
Оснoве веб комуникације: Протоколи и механизми комуникације на вебу. Увод у HTTP и HTTPS. HTTP аутентификација и cookies: Начини аутентификације и улога cookies-а у сесијама и праћењу корисника.
Безбедносни ризици и напади:
- Прислушкивање и крађа cookie-а: Технике и мере заштите.
- HTTPS: Предности и ограничења у заштити података.
- Man-in-the-Middle напади: Препознавање и заштита.
- XSS (Cross-Site Scripting) напади: Принципи, врсте и заштита.
- SQL Injection: Како функционише и како се заштитити.
- DDOS напади: Типови и стратегије одбране.
- Broken Access Control: Уочавање и исправљање пропуста у контроли приступа.
- Cryptographic Failures: Оштећења у криптографским протоколима и њихове последице.
- Server-Side Request Forgery (SSRF): Механизам и ризици.
- Web Parameter Tampering: Манипулација параметрима и мере заштите.
- Code Injection: Методе убацивања злонамерног кода и заштита.
Практична настава
Практична настава обухвата симулацију и тестирање безбедносних напада и мера заштите на веб сервисима. Студенти ће радити на стварним примерима и користити алате за тестирање веб безбедности као што су Burp Suite, OWASP ZAP и други. Вежбе ће укључивати конфигурацију сигурносних поставки, детекцију и анализу рањивости, као и предлоге за њихово ублажавање, са фокусом на примену теоретских знања у реалним сценаријима.