imported>Sdll: Migrated current public revision from wiki.cs.hse.ru

2019-12-22T20:41:12Z

Migrated current public revision from wiki.cs.hse.ru

Новая страница

== Безопасность компьютерных систем ==

Курс по выбору для студентов 3 и 4 курса ФКН ВШЭ, осень 2019 года (1 и 2 модуль).
Курс состоит из лекций и семинаров. Основной акцент сделан на безопасности приложений и разработке безопасного программного обеспечения.

=== План курса ===

Лекции:

(1-й модуль)

# (09.09) [https://drive.google.com/file/d/1FXnXAu2NrUgMJFmCOD9eDtGe3Ujq0QpX/view?usp=sharing Вводная лекция. Безопасность приложений как фактор технологической конкуренции. Уязвимости программного обеспечения и атаки на них. Основные понятия и определения. Модель нарушителя.]
# (16.09) [https://drive.google.com/file/d/19n-fJsK9xDAblce1p2YrFbzE5c7_d-r2/view?usp=sharing Безопасность приложений. Мобильные приложения и их уязвимости.]
# (23.09) [https://drive.google.com/file/d/1woBr5Rq46zuT-sRArqrKal7DH2wE_g82/view?usp=sharing Безопасность приложений. Injection-атаки и санитизация запросов во внешние подсистемы.]
# (30.09) [https://drive.google.com/file/d/1cw2xioryMUPQt54XhbQHBVEbdcDA7i_b/view?usp=sharing Безопасность приложений. Валидация сложных структур данных. Загрузка файлов. SSRF.]
# (07.10) [https://drive.google.com/file/d/1gDfHyWm3Y-lYAe_OLSI6AnkbwsulWA4x/view?usp=sharing Безопасность приложений. Аутентификация и авторизация.]
# (14.10) [https://drive.google.com/file/d/1Z1X9UQhoXW1_98a74xy9YpB__M1e8k1V/view?usp=sharing Безопасность приложений. Secure Development Life Cycle - методы поиска недостатков в ПО.]

(2-й модуль)
# (28.10) [https://drive.google.com/file/d/1GnMCbdkDs2em2YHKvIvX6jB6fGvTsA9a/view?usp=sharing Безопасность приложений. Уязвимости, связанные с переполнением буфера.]
# (11.11) [https://drive.google.com/file/d/1sINCQ-SHtUJeE1q7ldvApIBNTWZ3ii52/view?usp=sharing Безопасность приложений. Уязвимости переполнения кучи. Механизмы защиты в современных операционных систем. ASLR, защита стека. Методы обхода.]
# (18.11) [https://drive.google.com/file/d/1pprbKulUDgC8ZK5Y-3x-QITOfeOK3y0l/view?usp=sharing Безопасность приложений. Продвинутые бинарные уязвимости (UAF, Type confusion) с примерами в реальных приложениях.]
# (25.11) [https://drive.google.com/file/d/1kVM99uCDsTcgR_Zqs7UM6RwuyhdoQq8n/view?usp=sharing Механизмы безопасности приложений в операционных системах.]
# (02.12) [https://drive.google.com/file/d/1pE36xBXZC2v-UAfII9mO_9QDrOTdbUe5/view?usp=sharing Криптография. Введение и история. Хэши. Криптография с открытым ключом.]
# (09.12) [https://drive.google.com/file/d/1Lf1ECyqr4jslRik8vEtZEtHUxHxVQA2h/view?usp=sharing Криптография. Симметричные шифры. MAC.]
# (16.12) [https://drive.google.com/file/d/1K6YPa3wC3oYPKdV2__LzotFUxMQV1kR2/view?usp=sharing Криптография. Приложения - PKI, WoT, Блокчейн. Заключение.]

Семинары:
# (16.09) [[Безопасность компьютерных систем 2019/Уязвимости мобильных приложений]]
# (23.09) [[Безопасность_компьютерных_систем_2019/SQLi|Веб-уязвимости. Обзор, инструменты. SQLi.]]
# (30.09) [[Безопасность_компьютерных_систем_2019/XSS|Веб-уязвимости. XSS.]]
# (07.10) [[Безопасность_компьютерных_систем_2019/File_Upload_and_stuff|Веб-уязвимости. File Upload, прочее интересное.]]
# (14.10) Семинара нет.
# (28.10) [[Безопасность_компьютерных_систем_2019/Бинарные_программы_1|Бинарные программы. Инструменты.]]
# (11.11) [[Безопасность_компьютерных_систем_2019/Бинарные_программы_2|Бинарные программы. Обнаружение уязвимостей и эксплуатация.]]
# (18.11) [[Бинарные программы. Уязвимости переполнения кучи.]]
# (25.11) [[Безопасность_компьютерных_систем_2019/SECCOMP|Механизмы безопасности операционных систем на примере Linux Seccomp]]
# (02.11) [[Безопасность_компьютерных_систем_2019/RSA|Атаки на RSA.]]
# (09.12) [https://drive.google.com/file/d/1txGizt0urG38OimtNYAwhk1LJGVJitkR/view?usp=sharing Атаки на блочные шифры.]
# (16.12) [[Безопасность_компьютерных_систем_2019/Padding|Padding Oracle атаки.]]

=== Материалы лекций ===

Лекционные материалы публикуются по мере продвижения по курсу.

=== Практические задания ===

В рамках курса нужно выполнять домашние задания, выдаваемые на семинарах. Всего запланировано 4 задания.

[[Безопасность_компьютерных_систем_2019/Задание_1|Задание по теме "Уязвимости мобильных приложений"]]

[[Безопасность_компьютерных_систем_2019/Задание_2|Задание по теме "Веб-уязвимости"]]

[[Безопасность_компьютерных_систем_2019/Задание_3|Задание по теме "Бинарные уязвимости"]]

[[Безопасность_компьютерных_систем_2019/Задание_4|Задание по теме "Криптографические уязвимости"]]

==== Общее ====

=== Итоговый тест ===

=== Оценки ===

[https://docs.google.com/spreadsheets/d/1GhxGsna_sCy-usc-qtscBgdtMcuhFjKZhcMmlOvBBjo/edit#gid=0 Ведомость]
=== Расчет оценки ===
Вклад в оценку:
* Практические задания (4 штуки) - 80%
* Итоговый тест (на экзамене) - 20%

=== Литература ===
Основная литература:
* Michał Zalewski. The Tangled Web: A Guide to Securing Modern Web Applications.
* Chris Anley, John Heasman, Felix Lindner, Gerardo Richarte. The Shellcoder's Handbook: Discovering and Exploiting Security Holes.
* Dafydd Stuttard, Marcus Pinto. The Web Application Hacker's Handbook: Detecting and Exploiting Security Flaws.
* Christopher Swenson, Modern Cryptanalysis: Techniques for Advanced Code Breaking.
* Æleen Frisch. Essential system administration.
* Dominic Chell, Tyrone Erasmus, Shaun Colley, Ollie Whitehouse. The Mobile Application Hacker's Handbook

Дополнительная литература:
* [https://docs.google.com/document/d/13zgZ_CRRHADwxf41mSSSuoJQLkMc67TXxpYLoW6lRak/edit#heading=h.l7t8ktb3r2q7 Веб-безопасность 101. Курс молодого бойца.]

=== Контакты ===
* Почта: gamajun@gmail.com, dgamaunov@hse.ru
* Tg: @jamadharma
* Tg чат: https://t.me/hse_security_course

Безопасность компьютерных систем 2019 - История изменений

imported>Sdll: Migrated current public revision from wiki.cs.hse.ru