Преглед на курсот
| Поглавје | Детали |
| Партнер | Универзитет „Гоце Делчев“ – Штип |
| Наслов | Безбедност на веб апликации: напади и најдобри практики |
| Услуга | [Внесете идентификатор на услугата] |
| Целна група | Веб администратори и веб програмери кои се вработени во јавниот и приватниот сектор |
| Формат | Работилница |
| Фокус на клучни технологии | Damn Vulnerable Web Application (DVWA) како ранлива PHP/MariaDB веб апликација
Други ранливи апликации од OWASP Vulnerable Web Applications Directory Веб сервери USBWebServer, Apache Скенери на ранливости на веб апликации како OWASP ZAP, Greenbone OpenVAS и Website Vulenrability Scanner; Lighthouse екстензија на Google Chrome LLMs како ChatGPT и DeepSeek |
| Статус | Во развој |
| Засегнати страни од МСП/ЈА | Јавен и приватен сектор на Република С. Македонија. |
| Барања за учество | Дипломирани инженери по информатика, електро-инженери, лица со искуство како веб администратори, веб програмери, студенти на информатички и електротехнички факултети, сите заинтересирани за безбедност на веб апликации. |
| Проценето времетраење | Дводневна обука со ден по 8×45 минути или тридневна обука 1 ден по 6×45 минути и 2 дена по 5×45 минути |
Опис на курсот
Вовед: Со почетокот на новата влада, во Македонија почна да функционира Министерство за дигитална трансформација кое меѓу другото е одговорно и за донесување на новата Национална стратегија за сајбер безбедност 2025-2028, како и новиот предлог закон за безбедност на мрежи и информациски системи. Безбедноста на веб апликациите е составен дел на овие документи, и од големо значење е сите македонски веб страните да бидат безбедно испрограмирани, а веб серверите каде тие се хостираат да бидат безбедно конфигурирани и со инсталирани последни безбедни ажурирања и закрпи.
Технички контекст и примери:
Цел 1: Учење и разбирање на различните веб напади, како се можни и како се изведуваат, како и на најдобрите практики од безбедно програмирање за заштита од овие напади.
Цел 2: Учење да се користат алатки кои можат да помогнат во подобрувањето на безбедноста на веб апликациите, како што се скенери на ранливости кај веб апликации, големите јазични модели и др.
Во рамките на обуката, учесниците ќе се запознаат со различните напади врз менаџирањето на сесии кај HTTP, како што се преземање на сесија, фиксација на сесија, Cross Site Scripting – XSS (Reflected, Stored and DOM-based), Cross-Site Request Forgery (CSRF), но и со различни други напади на веб апликации кои произлегуваат од лошо програмирање, конфигурација и сл., како што се SQL Injection (Classic, Blind, Out-of-band), clickjacking и др [1]. За таа цел, ќе се користи DVWA [2] (или некоја друга ранлива веб апликација од [4]) со веб сервер како [3]. Учесниците ќе се запознаат со најдобрите практики од безбедно програмирање. Исто така, ќе научат како да сценираат ранливости на веб апликации со алатки како OWASP ZAP, Greenbon OpenVAS и Website Vulenrability Scanner [5, 6, 7], како да користат LLMs за подобрување на безбедноста на веб апликациите, и сл.
Детално објаснување на основни концепти: Оваа обука ги покрива најзначајните напади на веб апликации, заедно со најдобрите практики од безбедно програмирање за нивно спречување. Обуката ја нагласува практичната демонстрација на напади, а не само теоретското знаење. Учесниците ќе работат со реални алатки и познати ранливи веб апликации. Исто така, вежбите се дизајнирани на интерактивен и слоевит начин, бидејќи учесниците можат да вежбаат со различни безбедносни нивоа (ниско, средно, високо и невозможно) кај ранливите веб апликации за демонстрирање на предностите и недостатоците на различните решенија. Курсот вклучува примена на ВИ и LLMs за подобрување на безбедноста на веб апликации, во комбинација со познати скенери на разнливости.
Заклучок и уникатна вредност: Уникатната вредност на курсот лежи во неговиот пристап на практична демонстрација на познати напади на веб апликации, заедно со учење најдобри практики за нивно спречување. Курсот комбинира важна тема, практични интерактивни вежби и реални алатки во единствено, кохезивно искуство за учење. Тој е дизајниран да биде достапен за веб програмери и веб администратори.
Дополнителни информации за курсот
| Категорија | Детали |
| Вредност на услугата | Учесниците ќе стекнат знаења и вештини, вклучувајќи: |
| Вештина 1: учење и разбирање на HTTP менаџментот на сесии, како и различни напади кои произлегуваат од него.
Вештина 2: учење и разбирање на различни напади на веб апликации Вештина 3: учење како да се изведуваат различни напади на веб апликации, рачно и автоматски, врз ранлива веб апликација, како DVWA Вештина 4: користење на алатки за тестирање на ранливости на веб апликации Вештина 5: учење и примена на најдобри практики од безбедното програмирање Вештина 6: учење и примена на големите јазични модели како ChatGPT и DeepSeek за статичка анализа на код, AI-помогнато динамичко скенирање, објаснување на ранливости и санација, и др. |
|
| Методи на учење | Комбинација на предавање и практични вежби, со групни дискусии |
| Референци/ресурси | [1] OWASP Top Ten
[2] Damn Vulnerable Web Application (DVWA) [3] USBWebServer [4] OWASP Vulnerable Web Applications Directory [5] OWASP ZAP |
| Преглед на слајдови |