Předmět je základní jednotka výuky, jejímž prostřednictvím si student osvojí ucelenou část souboru znalostí a dovedností, potřebnou pro zvládnutí studijního oboru/specializace. Za věcný obsah předmětu zodpovídá garant předmětu. Časovou náročnost předmětu zhruba vyjadřuje atribut předmětu rozsah kontaktní výuky. Například rozsah = 2+2 značí, že předmět bude mít týdně dvě hodiny přednášek a dvě hodiny cvičení týdně. Na závěr semestru musí vyučující provést vyhodnocení, nakolik si ten který student osvojil poznatky a dovednosti, kterých měl během výuky nabýt. Jakým způsobem toto hodnocení vyučující provedou určuje atribut způsob zakončení. U předmětu lze definovat, že předmět je zakončen pouze zápočtem(Z), klasifikovaným zápočtem(KZ), pouze zkouškou(ZK), nebo zápočtem a zkouškou(Z,ZK). Náročnost úspěšného absolvování předmětu je vyjádřena ECTS kreditními body. Výuka předmětu probíhá během semestru. Opakovaně se předmět vyučuje vždy v zimním(Z), nebo v letním(L) semestru každého akademického roku. Výjimečně může předmět být nabízen studentům v obou semestrech(Z,L). Za organizační zajištění výuky zodpovídá přiřazená katedra, která zejména vytvoří časový rozvrh předmětu a zajistí pro předmět vyučující. Někteří přednáší a zkouší, jiní vedou cvičení a udělují zápočty.
Obsahová náplň a další organizační informace, týkající se předmětu je popsána pomocí různých popisných textů(anotace, týdenní osnova, literatura, apod.)
$DODATEK_POPIS
BIE-BEK | Secure Code | Rozsah kontaktní výuky: | 2P+2C | ||
---|---|---|---|---|---|
Vyučující: | Způsob zakončení: | Z,ZK | |||
Zodpovědná katedra: | 18106 | ECTS Kredity: | 5 | Semestr: | L |
Anotace:
Studenti se naučí posuzovat a zohledňovat bezpečnostní rizika při návrhu svého kódu a řešení v běžné inženýrské praxi. Od teorie modelování bezpečnostních rizik přistoupí k praxi, ve které si vyzkouší běh programů pod nižšími oprávněními a jak tato oprávnění stanovovat, protože ne každý program musí nutně běžet s administrátorským oprávněním. Budou také prakticky demonstrována rizika spojená s přetečením bufferu. Dále se studenti budou krátce věnovat zabezpečení dat a jak toto zabezpečení souvisí s databázovými systémy a webem. V závěru se budou věnovat útokům typu DoS (Denial of Service) a obraně proti nim.
Osnovy přednášek:
1. | Úvod do bezpečného programování, modelování bezpečnostních rizik | |
2. | Generování kódu a struktura spustitelného souboru | |
3. | Přetečení bufferu | |
4. | Psaní bezpečného kódu v C | |
5. | Úrovně bezpečnostních oprávnění, ACL | |
6. | Běh programu při nízkých oprávněních | |
7. | Zabezpečení a integrita dat | |
8. | Datový vstup, kanonická reprezentace a bezpečnost | |
9. | Databáze a bezpečnost | |
10. | Bezpečnost webových aplikací | |
11. | Bezpečnost socketů | |
12. | Útoky typu denial-of-service |
Osnovy cvičení:
1. | Úvod do nástrojů pro ladění | |
2. | Generování kódu a rozbor existující aplikace | |
3. | Přetečení bufferu | |
4. | Přetečení bufferu II | |
5. | Psaní bezpečného kódu v C | |
6. | Zabezpečení a integrita dat | |
7. | Běh při nízkých oprávněních | |
8. | SQL injection | |
9. | Bezpečné programování pro databázové systémy | |
10. | Bezpečnost webových aplikací | |
11. | Přetečení bufferu na haldě | |
12. | Sessions |
Literatura:
[1] | Howard, M. - LeBlanc, D.: Writing Secure Code, 2nd Edition, Microsoft Press, 2003, 9780735617223. | |
[2] | Howard, M. - LeBlanc, D.: Writing Secure Code for Windows Vista, Microsoft Press, 2007, 9780735623934. | |
[3] | Seacord, R. C.: Secure Coding in C and C++, 2nd Edition, Addison-Wesley Professional, 2013, 9780321822130. |
Požadavky:
Programování v C, znalost základních programových rozhraní a architektur počítačových systémů, základní znalost SQL, základní znalost Javascriptu.
|
Předmět je zahrnut do těchto studijních plánů:
Stránka vytvořena 19. 4. 2024, semestry: Z/2021-2, Z/2023-4, Z/2022-3, Z/2019-20, Z/2024-5, L/2021-2, L/2020-1, L/2022-3, L/2023-4, Z/2020-1, L/2019-20, připomínky k informační náplni zasílejte správci studijních plánů | Návrh a realizace: J. Novák, I. Halaška |