Разработка защищенных приложений

Бакалавриат 2025/2026

Статус: Курс обязательный (Информационная безопасность)

Кто читает: Кафедра информационной безопасности киберфизических систем

Где читается: Московский институт электроники и математики им. А.Н. Тихонова

Когда читается: 2-й курс, 3, 4 модуль

Охват аудитории: для своего кампуса

Язык: русский

Кредиты: 6

Дополнительные материалы в LMS Задать вопрос

Аннотация

Курс "Разработка защищенных веб-приложений" посвящён изучению принципов безопасности веб-среды, сетевых протоколов (HTTP/HTTPS, TLS) и современных методов защиты от угроз. Слушатели осваивают анализ уязвимостей (например, XSS, SQL Injection, CSRF), защиту API и микросервисов, а также ключевые стандарты, такие как OWASP Top 10 и Content Security Policy (CSP). Дополнительно курс охватывает процессы безопасной разработки (SSDLC), интеграцию DevSecOps в CI/CD, работу с инструментами анализа кода (SAST/DAST) и управление секретами. По завершении студенты смогут проектировать защищённые приложения, внедрять процессы DevSecOps и использовать инструменты для тестирования и мониторинга безопасности.

Цель освоения дисциплины

Формирование системного понимания архитектуры веб-приложений и принципов их безопасной разработки
Развитие практических навыков анализа веб-приложений с учётом безопасности
Ознакомление с современными инструментами и процессами разработки
Формирование глубокого понимания ключевых концепций информационной безопасности
Ознакомление с основными угрозами информационной безопасности в контексте разработки веб-приложений
Формирование представления о механизмах и способах защиты приложений, а также о практиках безопасной разработки
Ознакомление с международными стандартами и фреймворками безопасности
Формирование компетенций в управлении безопасностью на всех этапах жизненного цикла

Планируемые результаты обучения

Знает синтаксис изучаемого языка программирования и реализует базовые приложения
Разрабатывает серверное приложение
Знать основные концепции безопасности веб-приложений.
Уметь определять типичные угрозы для веб-приложений.
Владеть методами классификации атак на веб-среду.
Знать принципы работы HTTP/HTTPS и TLS
Владеть инструментами анализа сетевого трафика
Знать механизмы управления сеансами (cookies, tokens).
Уметь применять HttpOnly, Secure-флаги и SameSite cookies для защиты сессий.
Владеть методами защиты от атак типа session fixation и replay attacks.
Знает основные схемы аутентификации (OAuth2, SAML, WebAuthn).
Владеет методами защиты от атак на OAuth2 Refresh Tokens.
Понимает проблемы безопасности Single Sign-On (SSO).
Знать модели RBAC и ABAC, их преимущества и ограничения.
Владеть методами защиты от Broken Access Control.
Знать OWASP Top 10 и другие стандарты безопасности.
Уметь анализировать код на наличие XSS, SQL Injection и CSRF уязвимостей.
Владеть методами защиты от распространённых атак.
Знать особенности REST, GraphQL и gRPC.
Уметь выявлять уязвимости в API (over-fetching, under-fetching).
Владеть методами защиты API от атак.
Знать базовые угрозы и лучшие практики защиты API
Знать виды атак (SSRF, XXE, IDOR, Path traversal).
Уметь анализировать потенциальные уязвимости в коде.
Владеть методами защиты от сложных атак.
Знать стандарты защиты (CSP, HTTPS, HSTS).
Уметь настраивать защиту от XSS, CSRF и других атак.
Владеть методами валидации входных данных.