Мы используем файлы cookies для улучшения работы сайта НИУ ВШЭ и большего удобства его использования. Более подробную информацию об использовании файлов cookies можно найти здесь, наши правила обработки персональных данных – здесь. Продолжая пользоваться сайтом, вы подтверждаете, что были проинформированы об использовании файлов cookies сайтом НИУ ВШЭ и согласны с нашими правилами обработки персональных данных. Вы можете отключить файлы cookies в настройках Вашего браузера.

  • A
  • A
  • A
  • АБB
  • АБB
  • АБB
  • А
  • А
  • А
  • А
  • А
Обычная версия сайта
Версия для слабовидящихВерсия для слабовидящихЛичный кабинет сотрудника ВШЭПоискМеню
Высшая школа экономики
Личный кабинет сотрудника ВШЭПоиск
Расширенный поиск

Программа дисциплины

Программа дисциплины


 

Нашли опечатку?
Выделите её, нажмите Ctrl+Enter и отправьте нам уведомление. Спасибо за участие!

Бакалавриат 2024/2025

Разработка защищенных приложений и протоколы безопасности

Статус: Курс обязательный (Информационная безопасность)
Кто читает: Кафедра информационной безопасности киберфизических систем
Когда читается: 2-й курс, 1-4 модуль
Охват аудитории: для своего кампуса
Преподаватели: Башун Владимир Владимирович, Минченков Виктор Олегович
Язык: русский

Программа дисциплины

Полная версия программы учебной дисциплиныЗадать вопрос

Аннотация

Курс "Разработка защищенных веб-приложений" посвящён изучению принципов безопасности веб-среды, сетевых протоколов (HTTP/HTTPS, TLS) и современных методов защиты от угроз. Слушатели осваивают анализ уязвимостей (например, XSS, SQL Injection, CSRF), защиту API и микросервисов, а также ключевые стандарты, такие как OWASP Top 10 и Content Security Policy (CSP). Дополнительно курс охватывает процессы безопасной разработки (SSDLC), интеграцию DevSecOps в CI/CD, работу с инструментами анализа кода (SAST/DAST) и управление секретами. По завершении студенты смогут проектировать защищённые приложения, внедрять процессы DevSecOps и использовать инструменты для тестирования и мониторинга безопасности.
Цель освоения дисциплины

Цель освоения дисциплины

  • Формирование системного понимания архитектуры веб-приложений и принципов их безопасной разработки
  • Развитие практических навыков разработки веб-приложений с учётом безопасности
  • Ознакомление с современными инструментами и процессами разработки
  • Формирование глубокого понимания ключевых концепций информационной безопасности
  • Ознакомление с международными стандартами и фреймворками безопасности
  • Формирование компетенций в управлении безопасностью на всех этапах жизненного цикла
Планируемые результаты обучения

Планируемые результаты обучения

  • Знать основные концепции безопасности веб-приложений.
  • Уметь определять типичные угрозы для веб-приложений.
  • Владеть методами классификации атак на веб-среду.
  • Знать принципы работы HTTP/HTTPS и TLS
  • Владеть инструментами анализа сетевого трафика
  • Знать механизмы управления сеансами (cookies, tokens).
  • Уметь применять HttpOnly, Secure-флаги и SameSite cookies для защиты сессий.
  • Владеть методами защиты от атак типа session fixation и replay attacks.
  • Знает основные схемы аутентификации (OAuth2, SAML, WebAuthn).
  • Владеет методами защиты от атак на OAuth2 Refresh Tokens.
  • Понимает проблемы безопасности Single Sign-On (SSO).
  • Знать модели RBAC и ABAC, их преимущества и ограничения.
  • Владеть методами защиты от Broken Access Control.
  • Знать OWASP Top 10 и другие стандарты безопасности.
  • Уметь анализировать код на наличие XSS, SQL Injection и CSRF уязвимостей.
  • Владеть методами защиты от распространённых атак.
  • Знать особенности REST, GraphQL и gRPC.
  • Уметь выявлять уязвимости в API (over-fetching, under-fetching).
  • Владеть методами защиты API от атак.
  • Знать базовые угрозы и лучшие практики защиты API
  • Знать виды атак (SSRF, XXE, IDOR, Path traversal).
  • Уметь анализировать потенциальные уязвимости в коде.
  • Владеть методами защиты от сложных атак.
  • Знать стандарты защиты (CSP, HTTPS, HSTS).
  • Уметь настраивать защиту от XSS, CSRF и других атак.
  • Владеть методами валидации входных данных.
  • Знать этапы жизненного цикла безопасной разработки.
  • Уметь внедрять SSDLC в процесс разработки.
  • Владеть методами анализа рисков на каждом этапе.
  • Знать популярные инструменты SAST и DAST.
  • Уметь использовать Burp Suite для тестирования веб-приложений.
  • Владеть методами статического и динамического анализа кода.
  • Знать базовые принципы DevSecOps и их реализацию.
  • Уметь интегрировать проверки безопасности в CI/CD.
  • Владеть методами защиты application supply chain.
  • Знать OWASP ASVS, SAMM и другие стандарты безопасности.
  • Уметь применять OWASP Threat Dragon для моделирования угроз.
  • Владеть методами оценки зрелости процессов безопасности.
Содержание учебной дисциплины

Содержание учебной дисциплины

  • Введение в безопасность веб-приложений
  • Сетевые протоколы и их безопасность
  • Управление сеансом и аутентификация
  • Схемы аутентификации и атаки на аутентификацию
  • Авторизация и контроль доступа
  • Типичные уязвимости веб-приложений
  • API и их безопасность
  • Веб атаки: дополнительный раздел
  • Механизмы защиты
  • Secure Software Development Lifecycle (SSDLC)
  • Инструменты анализа безопасности
  • Безопасность CI/CD пайплайнов
  • Стандарты и чек-листы безопасности
Элементы контроля

Элементы контроля

  • неблокирующий Летучки
    летучки на семинаре по результатам разобранных тем
  • неблокирующий Лабораторные по протоколам
  • блокирующий Доклад на семинаре
  • блокирующий Тесты по лекционному материалу
  • неблокирующий Практические задания
Промежуточная аттестация

Промежуточная аттестация

  • 2024/2025 1st module
    1 * Лабораторные по протоколам
  • 2024/2025 4th module
    0.195 * Доклад на семинаре + 0.083 * Лабораторные по протоколам + 0.111 * Летучки + 0.361 * Практические задания + 0.25 * Тесты по лекционному материалу
Список литературы

Список литературы

Рекомендуемая основная литература

  • Безопасность веб-приложений : исчерпывающий гид для начинающих разработчиков, Янка, Т., 2023
  • Безопасность веб-приложений : разведка, защита, нападение, Хоффман, Э., 2022

Рекомендуемая дополнительная литература

  • Cybersecurity, Wilson, D. C., 2021
  • PHP & MySQL : server-side web development, Duckett, J., 2022
  • Безопасность веб-приложений на Python : криптография, TLS и устойчивость к атакам, Бирн, Д., 2023

Авторы

  • Минченков Виктор Олегович
  • Башун Владимир Владимирович
  • Евсютин Олег Олегович
  • Аксенова Ольга Вениаминовна