МИНОБРНАУКИ РОССИИ
федеральное государственное бюджетное образовательное учреждение высшего образования
«Алтайский государственный университет»

Безопасность Web-технологий

рабочая программа дисциплины
Закреплена за кафедройКафедра информационной безопасности
Направление подготовки10.03.01. Информационная безопасность
ПрофильБезопасность автоматизированных систем (в сфере профессиональной деятельности)
Форма обученияОчная
Общая трудоемкость3 ЗЕТ
Учебный план10_03_01_ИБ-4-2020
Часов по учебному плану 108
в том числе:
аудиторные занятия 54
самостоятельная работа 27
контроль 27
Виды контроля по семестрам
экзамены: 5

Распределение часов по семестрам

Курс (семестр) 3 (5) Итого
Недель 19
Вид занятий УПРПДУПРПД
Лекции 18 18 18 18
Лабораторные 36 36 36 36
Сам. работа 27 27 27 27
Часы на контроль 27 27 27 27
Итого 108 108 108 108

Программу составил(и):
Ст. преп., Головин А.В.

Рецензент(ы):
к.ф.-м.н., доцент, Рудер Д.Д.

Рабочая программа дисциплины
Безопасность Web-технологий

разработана в соответствии с ФГОС:
Федеральный государственный образовательный стандарт высшего образования по направлению подготовки 10.03.01 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ (уровень бакалавриата) (приказ Минобрнауки России от 01.12.2016г. №1515)

составлена на основании учебного плана:
10.03.01 Информационная безопасность
утвержденного учёным советом вуза от 08.06.2020 протокол № 3.

Рабочая программа одобрена на заседании кафедры
Кафедра информационной безопасности

Протокол от 08.06.2020 г. № 10-2019/20
Срок действия программы: 2020-2021 уч. г.

Заведующий кафедрой
д.ф.-м.н., профессор Поляков В.В.


Визирование РПД для исполнения в очередном учебном году

Рабочая программа пересмотрена, обсуждена и одобрена для
исполнения в 2020-2021 учебном году на заседании кафедры

Кафедра информационной безопасности

Протокол от 08.06.2020 г. № 10-2019/20
Заведующий кафедрой д.ф.-м.н., профессор Поляков В.В.


1. Цели освоения дисциплины

1.1.Учебный курс «Безопасность WEB-технологий» направлен на достижение следующих целей и подготовку профессиональных специалистов и их деятельность связанную с разработкой, эксплуатацией и обслуживанием серверов, серверного программного обеспечения и интернет-сайтов размещенных в сети Интернет.
Для решения цели поставлены следующие задачи:
овладение основами Интернет-технологий;
изучение принципов установки, настройки и эксплуатации ПО серверных систем размещенных в сети Интернет;
разработка безопасных приложений для интернет-сайтов и оценка безопасности готовых программных решений для построения интернет-сайтов
способы защиты от взлома и обеспечение безопасности работающих интернет-сайтов и серверов размещенных в сети Интернет.

2. Место дисциплины в структуре ООП

Цикл (раздел) ООП: Б1.В.01

3. Компетенции обучающегося, формируемые в результате освоения дисциплины

ПК-2 способностью применять программные средства системного, прикладного и специального назначения, инструментальные средства, языки и системы программирования для решения профессиональных задач
ПК-8 способностью оформлять рабочую техническую документацию с учетом действующих нормативных и методических документов
ПК-15 способностью организовывать технологический процесс защиты информации ограниченного доступа в соответствии с нормативными правовыми актами и нормативными методическими документами Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю
В результате освоения дисциплины обучающийся должен
3.1.Знать:
3.1.1.О структуре, устройстве и функционировании сети Интернет;
Об архитектуре и работе серверных операционных систем;
О работе веб-сайтов в сети Интернет.
3.2.Уметь:
3.2.1.Программировать на языке Cи, Си++, JavaScipt
Знать язык гипертекстовой разметки HTML
Знать устройство, архитектуру, принципы работы семейства операционных систем на базе ОС Linux.
3.3.Иметь навыки и (или) опыт деятельности (владеть):
3.3.1.Свободного использования компьютерной техники и сети Интернет;
Программирования на нескольких языках, основой которых является языки Си и Java;
Обеспечения безопасности компьютерной техники и серверных операционных систем;
Использования операционной системы Ubuntu 12.1 Linux.

4. Структура и содержание дисциплины

Код занятия Наименование разделов и тем Вид занятия Семестр Часов Компетенции Литература
Раздел 1. Основы безопасности WEB-технологий
1.1. Вводная тема в которой рассказывается об основах построения сети Интернет, создании сети серверов и создании интенет-сайтов. Технологиях получения и безопасной передачи информации в сети Интернет. Принципах безопасного использования интернет-сервисов и интернет-сайтов. Лекции 5 2 ПК-2 Л2.1, Л1.1, Л2.2
1.2. Установка и настройка LAMP Лабораторные 5 6 ПК-2 Л2.1, Л1.1, Л2.2
1.3. Вводная тема в которой рассказывается об основах построения сети Интернет, создании сети серверов и создании интернет-сайтов. Технологиях получения и безопасной передачи информации в сети Интернет. Принципах безопасного использования интернет-сервисов и интернет-сайтов. Сам. работа 5 4 ПК-2 Л2.1, Л1.1, Л2.2
Раздел 2. Выбор серверного оборудования и ПО для веб-сервера
2.1. Какое серверное оборудования выбрать для безопасной и стабильной работы веб-сервера. Какие физические ресурсы необходимы веб-серверу и как рассчитать физические ресурсы сервера, что влияет на его загрузку. Выбор операционной системы сервера и дополнительного программного обеспечения необходимого для работы интернет-сайта или сайтов, которые будут размещены на веб-сервере Лекции 5 2 ПК-2 Л2.1, Л1.1, Л2.2
2.2. Разработка серверных скриптов и сценариев на языке PHP с использование базы данных MySQL Лабораторные 5 6 ПК-2 Л2.1, Л1.1, Л2.2
2.3. Какое серверное оборудования выбрать для безопасной и стабильной работы веб-сервера. Какие физические ресурсы необходимы веб-серверу и как рассчитать физические ресурсы сервера, что влияет на его загрузку. Выбор операционной системы сервера и дополнительного программного обеспечения необходимого для работы интернет-сайта или сайтов, которые будут размещены на веб-сервере Сам. работа 5 4 ПК-2 Л2.1, Л1.1, Л2.2
Раздел 3. Защищенные и незащищенные сетевые протоколы и ПО для передачи данных в сети Интернет
3.1. Какие протоколы используются в сети Интернет для передачи данных. Как и каким образом происходит передача данных. Методы передачи данных. Защищенные и незащищенные протоколы передачи данных и их использование Лекции 5 4 ПК-8 Л2.1, Л1.1, Л2.2
3.2. Разработка полнофункционального ПО для работы и управления интернет-сайтом Лабораторные 5 6 ПК-8 Л2.1, Л1.1, Л2.2
3.3. Какие протоколы используются в сети Интернет для передачи данных. Как и каким образом происходит передача данных. Методы передачи данных. Защищенные и незащищенные протоколы передачи данных и их использование Сам. работа 5 4 ПК-2 Л2.1, Л1.1, Л2.2
Раздел 4. Выбор средств разработки и языков программирования для разработки интернет-сайтов
4.1. Какие языки программирования используются для разработки интернет-сайтов. Какие языки лучше использовать и почему. Языки разработки сайтов с точки зрения внутренних возможностей и организации безопасности Лекции 5 2 Л2.1, Л1.1, Л2.2
4.2. Исследование и проверка сайта и настроенного ПО на уязвимости Лабораторные 5 6 Л2.1, Л1.1, Л2.2
4.3. Какие языки программирования используются для разработки интернет-сайтов. Какие языки лучше использовать и почему. Языки разработки сайтов с точки зрения внутренних возможностей и организации безопасности Сам. работа 5 5 ПК-2 Л2.1, Л1.1, Л2.2
Раздел 5. Безопасность и защита сервера в сети интернет
5.1. Методы и способы защиты сервера в сети Интернет. Выбор программного обеспечения для защиты веб-сервера. Анализ лог-файлов. Установка необходимого дополнительного программного обеспечения Лекции 5 4 Л2.1, Л1.1, Л2.2
5.2. Защита интернет-сайта от угроз Лабораторные 5 6 Л2.1, Л1.1, Л2.2
5.3. Методы и способы защиты сервера в сети Интернет. Выбор программного обеспечения для защиты веб-сервера. Анализ лог-файлов. Установка необходимого дополнительного программного обеспечения Сам. работа 5 5 ПК-2 Л2.1, Л1.1, Л2.2
Раздел 6. Виды интернет угроз и способы защиты от них
6.1. Основные методики и способы взлома, которые используют злоумышленники для получения доступа к веб-серверу, веб-сайту. Как действуют. Какие уязвимые места находят. Какие способы взлома и методы использую чтобы взломать сайт или вывести веб-сервер из строя Лекции 5 4 Л2.1, Л1.1, Л2.2
6.2. Использование и настройка дополнительного ПО для мониторинга и безопасной работы веб-сервера и веб-сайтов Лабораторные 5 6 Л2.1, Л1.1, Л2.2
6.3. Основные методики и способы взлома, которые используют злоумышленники для получения доступа к веб-серверу, веб-сайту. Как действуют. Какие уязвимые места находят. Какие способы взлома и методы использую чтобы взломать сайт или вывести веб-сервер из строя Сам. работа 5 5 ПК-2 Л2.1, Л1.1, Л2.2
Раздел 7. Экзамен
7.1. Экзамен 5 27 ПК-2 Л2.1, Л1.1, Л2.2

5. Фонд оценочных средств

5.1. Контрольные вопросы и задания для проведения текущего контроля и промежуточной аттестации по итогам освоения дисциплины
1. Какие серверные ОС системы Вы знаете, чем они отличаются от Desktop ОС?
2. Какие серверные ОС чаще всего используют в сети Интернет? Почему? Назовите 5 самых популярных?
3. Что такое LAMP? Из каких пакетов состоит LAMP? Для чего нужны эти пакеты?
4. Что такое вебсервер Apache? Что такое вебсервер Nginx? В чем их различия, преимущества и недостатки?
5. Что такое модуль веб-сервера? Зачем они нужны? Какие бывают? Приведите примеры самых распространенных и часто используемых модулей в Apache и Nginx?
6. Что такое виртуальные хосты в вебсерверах Apache и Nginx? За что они отвечают? Как настраиваются виртуальные хосты в Apache и Nginx?
7. Для чего ставят 2 вебсервера Apache+Nginx? Объясните как работает связка Apache+Nginx? Расскажите о преимуществах данной модели?
8. Что такое «хостинг»? Какие виды хостингов Вы знаете? В чем их принципиальные различия? Расскажите про «подводные камни»?
9. Что такое доменное имя? Что Вы знаете про доменные имена? Что такое DNS? Что такое DNS-сервер? Зачем нужны DNS сервера, как они настраиваются?
10. Что такое TCP/IP, как он работает, расскажите?
11. Что такое HTTP и HTTPS, как они работают? Что такое ssl сертификаты? Зачем они нужны?
12. Каким образом происходит разграничение прав между пользователями в Linux? Для чего это необходимо? Как добавлять удалять группы и пользователей в Linux? Как изменять права на фалы и папки в Linux?
13. Как посмотреть количество запущенных процессов в Linux?
14. Что такое HTML, HTML5, CSS, PHP, JavaScript, jQuery? В чем принципиальные различия между PHP и JavaScript ?
15. Что такое MySQL? Для чего нужен MySQL? Как работает MySQL? Что такое phpMyAdmin? Для чего нужен phpMyAdmin?
16. Что такое Plesk? Для чего нужен Plesk? Какие платные и бесплатные альтернативы Plesk Вы знаете? Их преимущества и недостатки?
17. Как происходят кражи паролей в сети Интернет? Способы защиты?
18. Вид взлома «Взлом электронной почты». Как происходят кражи паролей? Способы защиты?
19. Кража FTP-паролей. Как происходят кражи паролей? Способы защиты?
20. Вид взлома «Загрузка файлов». Как используют злоумышленники? Способы защиты?
21. Вид взлома «Register Globals». Как используют злоумышленники? Способы защиты?
22. JavaScript-инъекции. XSS. XSS и BB-коды. XSS и HTML. XSS и UTF. Как используют злоумышленники? Способы защиты?
23. CSRF: совершение действия от имени пользователя. Как используют злоумышленники? Способы защиты?
24. Отправка email с сайта. Как используют злоумышленники? Способы защиты?
25. SQL-инъекции. Как используют злоумышленники? Способы защиты?
26. Отключение кук (cookie). Как используют злоумышленники? Способы защиты?
27. Переполнение буфера, дыры в серверном ПО. Как используют злоумышленники? Способы защиты?
28. Что такое DDoS-атака. Виды DDoS-атак. Обнаружение DDoS-атак. Как используют злоумышленники? Способы защиты?
29. Какие антивирусы для организации безопасности веб-серверов Вы знаете? Назовите их.
30. Зачем нужны сканеры уязвимостей веб-сервера или сайта. Какие Вы знаете? Какие функции они Выполняют?
31. Что такое сканеры SQL-инъекций? Как они работают? Для чего они нужны?
32. Что такое сканеры XSS инъекций. Как они работают? Для чего они нужны?
33. Какое ПО для организации защиты от DDOS-атак Вы знаете? По какому принципу оно работает?
34. Какое ПО для организации защиты от SQL-инъекций Вы знаете? По какому принципу оно работает?
5.2. Темы письменных работ для проведения текущего контроля (эссе, рефераты, курсовые работы и др.)
В Приложении
5.3. Фонд оценочных средств для проведения промежуточной аттестации
В Приложении

6. Учебно-методическое и информационное обеспечение дисциплины

6.1. Рекомендуемая литература
6.1.1. Основная литература
Авторы Заглавие Издательство, год Эл. адрес
Л1.1 Локхарт Дж. Современный PHP. Новые возможности и передовой опыт: ДМК Пресс, 2016 // ЭБС издательство Лань e.lanbook.com
6.1.2. Дополнительная литература
Авторы Заглавие Издательство, год Эл. адрес
Л2.1 Фостер Дж. Защита от взлома: сокеты, эксплойты, shell-код : Издательство "ДМК Пресс", 2008 // ЭБС "Лань" e.lanbook.com
Л2.2 Медведовский И.Д., Семьянов П.В., Леонов Д.Г. Атака на Internet: ДМК Пресс, 2006 // ЭБС "Лань" e.lanbook.com
6.2. Перечень ресурсов информационно-телекоммуникационной сети "Интернет"
Название Эл. адрес
Э1 www.google.ru
Э2 www.ubuntu.com
Э3 ubuntu.ru
Э4 commons.apache.org
Э5 nginx.ru
Э6 www.mysql.com
Э7 stackoverflow.com
Э8 htmlbook.ru
Э9 php.net
Э10 php.ru
Э11 www.mysql.ru
Э12 www.mysql.com
Э13 курс на Moodle portal.edu.asu.ru
6.3. Перечень программного обеспечения
Microsoft Office
Microsoft Windows
7-Zip
AcrobatReader
6.4. Перечень информационных справочных систем
Профессиональные базы данных:
1. Электронная база данных «Scopus» (http://www.scopus.com);
2. Электронная библиотечная система Алтайского государственного университета (http://elibrary.asu.ru/);
3. Научная электронная библиотека elibrary (http://elibrary.ru)

https://www.google.ru
https://www.ubuntu.com/
http://ubuntu.ru/
https://commons.apache.org/
https://nginx.ru/ru/
https://www.mysql.com/
https://stackoverflow.com/
http://htmlbook.ru/
http://php.net/docs.php
https://php.ru/manual/
http://www.mysql.ru
http://www.mysql.com

7. Материально-техническое обеспечение дисциплины

Аудитория Назначение Оборудование
408К лаборатория программно-аппаратных средств обеспечения информационной безопасности; лаборатория криптографических методов защиты информации - учебная аудитория для проведения занятий семинарского типа (лабораторных и(или) практических); проведения групповых и индивидуальных консультаций, текущего контроля и промежуточной аттестации Учебная мебель на 15 посадочных мест; рабочее место преподавателя; компью-теры: модель Компьютер Парус 945 MSI PDualCore E2140/512Mb+1024/HDD80Gb/DVD-ROM/LCD17" LG/KM - 11 единиц; мо-ниторы: марка Samsung - 3 единицы; системный блок CTR Office Celeron 2533 MHz - 3 шт.; Аппаратные средства аутентификации пользователя: элек-тронные ключи Guardant Code (4 шт.); электронный ключ Guardant Time (1 шт.); электронные ключи Guardant Stealth (3 шт.); электронные ключи Alad-din eToken PRO (10 шт.). Программно-аппаратные комплексы защиты инфор-мации: Программно-аппаратный ком-плекс «Соболь» Версия 3.0 RU.403008570.501410.001; Программно-аппаратный комплекс «Соболь» Версия 2.1 УВАЛ 00030-58-01; система защиты информации «Secret Net 2000» версии 4.0 (автономный вариант). Комплекс проекционного оборудования для препо-давателя - проектор мультимедийный "Optoma W402", проектор мультимедиа "BenQ MP626 DLP".
001вК склад экспериментальной мастерской - помещение для хранения и профилактического обслуживания учебного оборудования Акустический прибор 01021; виброизмеритель 00032; вольтметр Q1202 Э-500; вольтметр универсальный В7-34А; камера ВФУ -1; компьютер Турбо 86М; масспектрометр МРС -1; осциллограф ЕО -213- 2 ед.; осциллограф С1-91; осциллограф С7-19; программатор С-815; самописец 02060 – 2 ед.; стабилизатор 3218; терц-октавный фильтр 01023; шкаф вытяжной; шумомер 00026; анализатор АС-817; блок 23 Г-51; блок питания "Статрон" – 2 ед.; блок питания Ф 5075; вакуумный агрегат; весы; вольтметр VM -70; вольтметр В7-15; вольтметр В7-16; вольтметр ВУ-15; генератор Г-5-6А; генератор Г4-76А; генератор Г4-79; генератор Г5-48; датчик колебаний КВ -11/01; датчик колебаний КР -45/01; делитель Ф5093; измеритель ИМП -2; измеритель параметров Л2-12; интерферометр ИТ 51-30; источник "Агат" – 3 ед.; источник питания; источник питания 3222; источник питания ЭСВ -4; лабораторная установка для настройки газовых лазеров; лазер ЛГИ -21; М-кальк-р МК-44; М-калькул-р "Электроника"; магазин сопротивления Р4075; магазин сопротивления Р4077; микроскоп МБС -9; модулятор МДЕ; монохроматор СДМС -97; мост переменного тока Р5066; набор цветных стекол; насос вакумный; насос вакуумный ВН-01; осциллограф С1-31; осциллограф С1-67; осциллограф С1-70; осциллограф С1-81; осциллоскоп ЕО -174В – 2 ед.; пентакта L-100; пирометр "Промень"; пистонфон 05001; преобразователь В9-1; прибор УЗДН -2Т; скамья оптическая СО 1м; спектограф ДФС -452; спектограф ИСП -51; стабилизатор 1202; стабилизатор 3217 – 4 ед.; стабилизатор 3218; стабилизатор 3222 – 3 ед.; станок токарный ТВ-4; усилитель мощности ЛВ -103 – 4 ед.; усилитель У5-9; центрифуга ВЛ-15; частотомер Ч3-54А; шкаф металлический; эл.двигатель; электродинамический калибратор 11032
106Л помещение для хранения и профилактического обслуживания учебного оборудования Стеллажи – 3 шт. осциллограф, паяльная станция, источник тока, переносные ноутбуки
Учебная аудитория для проведения занятий лекционного типа, занятий семинарского типа (лабораторных и(или) практических), групповых и индивидуальных консультаций, текущего контроля и промежуточной аттестации, курсового проектирования (выполнения курсовых работ), проведения практик Стандартное оборудование (учебная мебель для обучающихся, рабочее место преподавателя, доска, мультимедийное оборудование стационарное или переносное)
Помещение для самостоятельной работы помещение для самостоятельной работы обучающихся Компьютеры, ноутбуки с подключением к информационно-телекоммуникационной сети «Интернет», доступом в электронную информационно-образовательную среду АлтГУ

8. Методические указания для обучающихся по освоению дисциплины

Рекомендации по подготовке к лекционным занятиям
- перед очередной лекцией необходимо просмотреть по конспекту материал предыдущей лекции.
- бегло ознакомиться с содержанием очередной лекции по основным источникам литературы в соответствии с рабочей программой дисциплины;
- обратить особое внимание на сущность и графическое сопровождение основных рассматриваемых теоретических положений.
Рекомендации по подготовке к лабораторным работам
- руководствоваться графиком лабораторных работ РПД;
- накануне перед очередной работой необходимо по конспекту или в методических указаниях к работе просмотреть теоретический материал работы;
- на лабораторном занятии, выполнив разработку алгоритма и реализовав задание на языке высокого уровня, необходимо проанализировать окончательные результаты и убедится в их достоверности;
- обратить внимание на оформление отчета, в котором должны присутствовать: цель работы, описание алгоритма, журнал опытных данных, реализация в опыте, цели работы, необходимые графические зависимости (при их наличии) и их анализ, результаты работы и выводы;
- при подготовке к отчету руководствоваться вопросами, приведенными в методических указаниях к данной работе, тренажерами программ на ЭВМ по отчету работ и компьютерным учебником.
Рекомендации по подготовке к самостоятельной работе
- руководствоваться графиком самостоятельной работы;
- выполнять все плановые задания, выдаваемые преподавателем для самостоятельного выполнения, и разбирать на семинарах и консультациях неясные вопросы;
- подготовку к экзамену необходимо проводить по экзаменационным теоретическим вопросам
- при подготовке к экзамену параллельно прорабатываете соответствующие теоретические и практические разделы курса, все неясные моменты фиксируйте и выносите на плановую консультацию.