Курсы Цифровые доказательства и Защита web-приложений в рамках Летней школы ENGENSEC
20-22 июля в рамках международной Летней школы студенты прослушали курс «Цифровые доказательства». Преподавали курс Anders Carlsson из Технического университета Блекинге, Швеция, доцент кафедры ЗСС Андрей Чечулин, Cemil Yesil и Benjamin Dorsch из федеральной полиции Германии.
Курс охватывал различные аспекты цифровой криминалистики, включая основы форензики, уязвимости ОС Windows, а также сетевую форензику. В практической части студенты получили задание — найти артефакты в различных веб-браузерах (Internet Explorer, Mozilla Firefox и др.). Основываясь на принципах сетевой форензики и используя найденные артефакты, студентам предлагалось выполнить расследование по заданию — расследовать похищение почтовых аккаунтов. В ходе задания также требовалось восстановить пароль из крипто контейнера. Кроме того, студенты получили обзор Live Forensic, в особенности, вопросы создания и анализа дампа памяти.
25-26 июля студенты прослушали курс «Безопасность Web-приложений». Теоретическая часть курса была представлена Еленой Ткачевой из «Харьковского национального университета радиоэлектроники». В ходе курса студентам был представлен обзор основных принципов функционирования клиент-серверной архитектуры, реальных угроз, уязвимостей и атак, которые имеют место, как на стороне клиента, так и на стороне сервера. Кроме того, был сделан обзор основополагающих принципов веб-безопасности и мер противодействия, которые дают возможность предотвратить атаки и разработки безопасных веб-приложений.
Также в ходе лекции был рассмотрен OWASP — открытый проект обеспечения безопасности веб-приложений, включающий топ-10 уязвимостей в этой области. Основное внимание было уделено таким типам уязвимости, как cross-site scripting и Server-Side Request Forgery, broking authentication and weak management access, SQL injection. Были обсуждены принципы сети (маршрутизатор, межсетевой экран, коммутаторы), серверы (веб-сервер, сервер приложений, сервер баз данных). В результате студенты получили знания о проектировании, строительстве, а также о настройке хак-устойчивых веб-приложений.
Практическая часть курса была предоставлена Сергеем Сыроежкиным из «Калининградского государственного технического университета». Учебные инструменты такие как Webgoatот OWASP и Pentestit были использованы на практике упражнений. Студенты узнали, как использовать SQL- инъекций и изучили технологии межсайтового скриптинга.