Bezpečnost a bezpečné programování
Kód | Zakončení | Kredity | Rozsah | Jazyk výuky |
---|---|---|---|---|
MI-BPR | Z,ZK | 4 | 2+1 | česky |
- Přednášející:
- Tomáš Zahradnický, Róbert Lórencz (gar.)
- Cvičící:
- Tomáš Zahradnický
- Předmět zajišťuje:
- katedra počítačových systémů
- Anotace:
-
Studenti se naučí posuzovat a zohledňovat bezpečnostní rizika při návrhu svého kódu a řešení v běžné inženýrské praxi. Od teorie modelování bezpečnostních rizik přistoupí k praxi, ve které si vyzkouší běh programů pod nižšími oprávněními a jak tato oprávnění stanovovat, protože ne každý program musí nutně běžet s administrátorským oprávněním. Dále se studenti budou krátce věnovat zabezpečení dat a jak toto zabezpečení souvisí s databázovými systémy, webem, vzdáleným voláním procedur a sokety obecně. V závěru se budou věnovat útokům typu DoS (Denial of Service) a obraně proti nim.
- Požadavky:
-
Programování v C, znalost základních programových rozhraních a architektur počítačových systémů.
- Osnova přednášek:
-
1. Úvod do bezpečnosti programování, současná bezpečnost.
2. Modelování bezpečnostních rizik.
3. Přetečení bufferu.
4. Psaní bezpečnějšího kódu v C.
5. Úrovně bezpečnostních oprávnění, ACL.
6. Běh programu při nízkých oprávněních.
7. Zabezpečení a integrita dat.
8. Datový vstup, kánonická reprezentace a bezpečnost.
9. Databáze a bezpečnost.
10. Bezpečnost webových aplikací.
11. Sokety, RPC a bezpečnost.
12. Ochrana proti DoS útokům.
13. Závěrečná přednáška, shrnutí, opakování
- Osnova cvičení:
-
1. Modelování bezpečnostních rizik.
2. Přetečení bufferu.
3. Běh programu při nízkých oprávněních.
4. Databáze a bezpečnost.
5. Bezpečnost webových aplikací.
6. DoS útoky.
- Cíle studia:
-
Cílem předmětu je studenty naučit myslet na bezpečnostní faktory při návrhu svých aplikací a řešení, které jsou dnes nepostradatelné. To budou studenti provádět modelováním bezpečnostních rizik, které posléze uvedou v praxi na úrovni programů v C. Studenti se naučí určit minimální privilegia pro běh programu. Dále se naučí, jak ve svých programech zabezpečit data, datovou komunikaci, vzdálené volání procedur a web.
- Studijní materiály:
-
Howard, M., LeBlanc, D. ''Writing Secure Code (2nd Edition)''. Microsoft Press, 2003. ISBN 0735617228.
Howard, M., LeBlanc, D. „Writing Secure Code for Windows Vista“. Microsoft Press, 2007.
http://www.owasp.org/index.php/Category:OWASP_Code_Review_Project
- Poznámka:
-
Rozsah=prednasky+proseminare+cviceni2p+1c, Prednasejici: doc. Ing. Róbert Lórencz CSc.
- Rozvrh na zimní semestr 2011/2012:
-
06:00–08:0008:00–10:0010:00–12:0012:00–14:0014:00–16:0016:00–18:0018:00–20:0020:00–22:0022:00–24:00
Po Út St Čt Pá - Rozvrh na letní semestr 2011/2012:
- Rozvrh není připraven
- Předmět je součástí následujících studijních plánů:
-
- Počítačová bezpečnost - verze pro ty, kteří se zapsali v roce 2010 (povinný předmět oboru)
- Zaměření Systémové programování - verze pro ty, kteří se zapsali v roce 2010 (povinný předmět zaměření)
- Společný plán před přiřazením do oboru, verze pro ty, kteří se zapsali v roce 2010 (VO)
- Společný plán před přiřazením do oboru, verze pro ty, kteří se zapsali v roce 2011 (VO)
- Počítačová bezpečnost - verze pro ty, kteří se zapsali v roce 2011 (povinný předmět oboru)
- Zaměření Systémové programování - verze pro ty, kteří se zapsali v roce 2011 (povinný předmět zaměření)
- Společný plán před přiřazením do oboru, verze pro ty, kteří se zapsali v roce 2012 (VO)
- Počítačová bezpečnost - verze pro ty, kteří se zapsali v roce 2012 (povinný předmět oboru)
- Zaměření Systémové programování - verze pro ty, kteří se zapsali v roce 2012 (povinný předmět zaměření)