Web Application Security (5cr)

Evaluation scale

H-5

Content scheduling

WWW-sovelluksiin kohdistuvat tietoturvauhat
WWW-sovelluksien haavoittuvuudet
WWW-sovelluksiin kohdistuvat hyökkäykset
WWW-sovellusten tietoturvaperiaatteet
WWW-sovelluksien suojaaminen
Hyödyllisiä standardeja, yhteisöjä, työkaluja ja muita resursseja
Ryhmätyö: ohjelmointi-, konfigurointi-, selvitys- tai suunnitteluaihe

Objective

After passing the course the student:Knows and understands common web application security threats, vulnerabilities, and attacksCan evaluate the technical and business impacts of different kinds of attacksKnows the security principles for developing high security web applicationsIs able to participate in high security web applications developing projectsCan utilize available web resources and knows the most important web application security organizationsCan use some web application security tools

Content

Web application security threats, vulnerabilities, and attacksThe impacts of web applications security breachesWeb application security principlesWeb application security toolsImplementing a secure web applicationWeb application security organizationsR&D work

Materials

Kurssin kirjallisuus ja lukumateriaali:

Sullivan, B. & Liu, V. 2011. Web Application Security. McGraw-Hill. 353 pages.

OWASP TOP 10 (https://www.owasp.org/index.php/Top_10-2017_Top_1 0)

Teaching methods

Luennoille osallistuminen
Henkilökohtaisten harjoitustöiden tekeminen
Osallistuminen ryhmätyön tekemiseen
Ensimmäinen luento: perehtymistä kurssin tavoitteisiin, materiaaliin ja joihinkin sen työkaluihin.
Toinen luento: aloitamme käytännön työskentelyn harjoitustehtävien parissa ja alamme perehtyä kurssin teoreettiseen sisältöön keskustellen.
Talviloman jälkeinen luento: ryhmätyön toimeksianto julkaistaan.
Viimeinen luento: ryhmätöiden demoaminen.

Pedagogic approaches and sustainable development

Tietoturvauhkien demoaminen luennoilla
Käsitteiden vuorovaikutteinen selventäminen luennoilla
Henkilökohtaisten harjoitustehtävien tekeminen
Osallistuminen ryhmätyön tekemiseen

Student workload

Luennot 24 h
Kirjallisuuteen perehtyminen 34 h
Henkilökohtaiset harjoitustehtävät 34 h
Ryhmätyöhön osallistuminen 40 h

Evaluation methods and criteria

Arviointi perustuu teorian ja käytännön harjoitustehtäviin sekä ryhmässä tehtävään harjoitustyöhön.
*
Arvosteluskaala:
*
Kirjatehtäviä 8 kpl. Vaikutus arvosanaan seuraavasti: 4 tehtävää -> arvosana 0,5; 5 -> 1,0; 7 -> 1,5.
*
Käytännön tehtäviä 6 kpl. Vaikutus arvosanaan seuraavasti: 2 tehtävää -> arvosana 0,5; 3 -> 1,0; 5 -> 1,5.
*
Molemmista yllämainituista osuuksista on saatava vähintään arvosana 0,5.
*
Harjoitustyö ryhmässä (vapaaehtoinen): arvostelu skaalalla 0-2 perustuen harjoitustyön toimeksiannossa kerrottaviin kriteeteihin.

Assessment criteria, satisfactory (1-2)

Opiskelija
- tuntee keskeiset www-sovellusten tietoturvauhat, haavoittuvuudet, hyökkäykset ja niiden mahdolliset seuraukset

Assessment criteria, good (3-4)

Opiskelija
- tuntee hyvin keskeiset www-sovellusten tietoturvauhat, haavoittuvuudet, hyökkäykset ja niiden mahdolliset seuraukset
- tietää, kuinka www-sovellusten tietoturvaa voidaan parantaa vähentämällä niiden haavoittuvuuksia

Assessment criteria, excellent (5)

Opiskelija
- tuntee hyvin keskeiset www-sovellusten tietoturvauhat, haavoittuvuudet, hyökkäykset ja niiden mahdolliset seuraukset
- tietää, kuinka www-sovellusten tietoturvaa voidaan parantaa vähentämällä niiden haavoittuvuuksia
- osaa käytännössä ohjelmoida www-sovelluksia, jotka on suunnittelusta alkaen toteutettu korkeaa tietoturvatasoa tavoitellen, tai osaa käytännössä soveltaa oppimaansa tietoturvaselvisten tekemiseen

Further information

Opiskelijat tekevät käytännön harjoituksia virtuaalikoneille asennetuilla WebGoat ja OWASPBWA nimisillä haavoittuvilla www-sivustoilla.