Web Application Security (5op)

Arviointiasteikko

H-5

Sisällön jaksotus

WWW-sovelluksiin kohdistuvat tietoturvauhat
WWW-sovelluksien haavoittuvuudet
WWW-sovelluksiin kohdistuvat hyökkäykset
WWW-sovellusten tietoturvaperiaatteet
WWW-sovelluksien suojaaminen
Hyödyllisiä standardeja, yhteisöjä, työkaluja ja muita resursseja
Ryhmätyö: ohjelmointi-, konfigurointi-, selvitys- tai suunnitteluaihe

Tavoitteet

After passing the course the student:Knows and understands common web application security threats, vulnerabilities, and attacksCan evaluate the technical and business impacts of different kinds of attacksKnows the security principles for developing high security web applicationsIs able to participate in high security web applications developing projectsCan utilize available web resources and knows the most important web application security organizationsCan use some web application security tools

Sisältö

Web application security threats, vulnerabilities, and attacksThe impacts of web applications security breachesWeb application security principlesWeb application security toolsImplementing a secure web applicationWeb application security organizationsR&D work

Oppimateriaalit

Kurssin kirjallisuus ja lukumateriaali:

Sullivan, B. & Liu, V. 2011. Web Application Security. McGraw-Hill. 353 pages.

OWASP TOP 10 (https://www.owasp.org/index.php/Top_10-2017_Top_1 0)

Opetusmenetelmät

Luennoille osallistuminen
Henkilökohtaisten harjoitustöiden tekeminen
Osallistuminen ryhmätyön tekemiseen
Ensimmäinen luento: perehtymistä kurssin tavoitteisiin, materiaaliin ja joihinkin sen työkaluihin.
Toinen luento: aloitamme käytännön työskentelyn harjoitustehtävien parissa ja alamme perehtyä kurssin teoreettiseen sisältöön keskustellen.
Talviloman jälkeinen luento: ryhmätyön toimeksianto julkaistaan.
Viimeinen luento: ryhmätöiden demoaminen.

Pedagogiset toimintatavat ja kestävä kehitys

Tietoturvauhkien demoaminen luennoilla
Käsitteiden vuorovaikutteinen selventäminen luennoilla
Henkilökohtaisten harjoitustehtävien tekeminen
Osallistuminen ryhmätyön tekemiseen

Opiskelijan ajankäyttö ja kuormitus

Luennot 24 h
Kirjallisuuteen perehtyminen 34 h
Henkilökohtaiset harjoitustehtävät 34 h
Ryhmätyöhön osallistuminen 40 h

Arviointimenetelmät ja arvioinnin perusteet

Arviointi perustuu teorian ja käytännön harjoitustehtäviin sekä ryhmässä tehtävään harjoitustyöhön.
*
Arvosteluskaala:
*
Kirjatehtäviä 8 kpl. Vaikutus arvosanaan seuraavasti: 4 tehtävää -> arvosana 0,5; 5 -> 1,0; 7 -> 1,5.
*
Käytännön tehtäviä 6 kpl. Vaikutus arvosanaan seuraavasti: 2 tehtävää -> arvosana 0,5; 3 -> 1,0; 5 -> 1,5.
*
Molemmista yllämainituista osuuksista on saatava vähintään arvosana 0,5.
*
Harjoitustyö ryhmässä (vapaaehtoinen): arvostelu skaalalla 0-2 perustuen harjoitustyön toimeksiannossa kerrottaviin kriteeteihin.

Arviointikriteerit, tyydyttävä (1-2)

Opiskelija
- tuntee keskeiset www-sovellusten tietoturvauhat, haavoittuvuudet, hyökkäykset ja niiden mahdolliset seuraukset

Arviointikriteerit, hyvä (3-4)

Opiskelija
- tuntee hyvin keskeiset www-sovellusten tietoturvauhat, haavoittuvuudet, hyökkäykset ja niiden mahdolliset seuraukset
- tietää, kuinka www-sovellusten tietoturvaa voidaan parantaa vähentämällä niiden haavoittuvuuksia

Arviointikriteerit, kiitettävä (5)

Opiskelija
- tuntee hyvin keskeiset www-sovellusten tietoturvauhat, haavoittuvuudet, hyökkäykset ja niiden mahdolliset seuraukset
- tietää, kuinka www-sovellusten tietoturvaa voidaan parantaa vähentämällä niiden haavoittuvuuksia
- osaa käytännössä ohjelmoida www-sovelluksia, jotka on suunnittelusta alkaen toteutettu korkeaa tietoturvatasoa tavoitellen, tai osaa käytännössä soveltaa oppimaansa tietoturvaselvisten tekemiseen

Lisätiedot

Opiskelijat tekevät käytännön harjoituksia virtuaalikoneille asennetuilla WebGoat ja OWASPBWA nimisillä haavoittuvilla www-sivustoilla.