Преглед на курсот
| Поглавје | Детали |
| Партнер | Универзитет „Гоце Делчев“ – Штип |
| Наслов | Безбедност на веб апликации: Конфигурација на HTTP безбедносни заглавја |
| Услуга | [Внесете идентификатор на услугата] |
| Целна група | Веб администратори и веб програмери кои се вработени во јавниот и приватниот сектор |
| Формат | Работилница |
| Фокус на клучни технологии | Веб сервери како Apache, Nginx, IIS.
Алатки како SecurityHeaders, HTTP Observatory, скенери на ранливости на веб апликации како OWASP ZAP, Lighthouse екстензија на Google Chrome |
| Статус | Подготвен за понуда |
| Засегнати страни од МСП/ЈА | Јавен и приватен сектор на Република С. Македонија. |
| Барања за учество | Дипломирани инженери по информатика, електро-инженери, лица со искуство како веб администратори, веб програмери, студенти на информатички и електротехнички факултети, сите заинтересирани за безбедност на веб апликации. |
| Проценето времетраење | Предавањата ќе се реализираат како еднодневна обука, 4×45 минути. |
Опис на курсот
Вовед: Во текот на 2024 година е направена анализа на имплементацијата на HTTP безбедносните заглавија во различни категории на македонски веб-страни [1]. Откриен е значителен недостаток на нивна имплементација и/или погрешна конфигурација во сите категории. Речиси половина од веб-страните имаат оценка F, додека повеќе од една четвртина имаат минимален резултат 0. Од клучно значење е правилно да се разберат и имплементираат безбедносни заглавија на HTTP за да се спречи или ограничи опасноста од напади на веб апликации како што се XSS, CSRF, SQL Injection, clickjacking итн.
Технички контекст и примери:
Цел 1: Учење и разбирање на важноста на имплементацијата и правилната конфигурација на HTTP безбедносните заглавија, со практична демонстрација кај Apache веб-серверот.
Цел 2: Учење да се користат алатки кои можат да помогнат во подобрувањето на безбедноста на веб апликациите, како што се оние за проверка на конфигурацијата на HTTP безбедносните заглавија, за тестирање на ранливости кај веб апликации, и др.
Во рамките на обуката слушателите ќе се запознаат со HTTP безбедносните заглавја како: Content Security Policy, Cookies, Cross-origin Resource Sharing, HTTP Strict Transport Security, Redirection, Referrer Policy, Subresource Integrity, X-Content-Type-Options и X-Frame-Options. Тие ќе научат правилно да ги конфигурираат во Apache веб-серверот и да ги тестираат со користење на алатки, како [2] и [3]. Ќе научат да ги тестираат ранливостите на веб-апликациите [4] со користење на алатки како OWASP ZAP.
Детално објаснување на основни концепти: Додека многу обуки покриваат општи теми за веб безбедност (на пр., SQL injection, XSS), овој курс конкретно се фокусира на HTTP безбедносните заглавија, кои се моќна, но недоволно искористена алатка за обезбедување на веб апликации. Обуката ја нагласува практичната имплементација наместо само теоретското знаење. Учесниците ќе работат со алатки и конфигурации од реалниот свет. Исто така, вежбите се дизајнирани на интерактивен начин, бидејќи учесниците можат да вежбаат конфигурирање на HTTP заглавија и тестирање на нивната ефикасност. Обуката вклучува и современите безбедносни предизвици, како што се имплементирање на Content Security Policy за динамични веб апликации и заштита од новите закани како cross-origin нападите.
Заклучок и уникатна вредност:
Имајќи го предвид нашето истражување, решивме да ја подигнеме свеста за добиените резултати и да му помогнеме на јавниот сектор во Република С. Македонија да ја подобри безбедноста на своите веб-страни.
Уникатната вредност на обуката лежи во неговиот практичен, hands-on пристап кон критичен аспект на безбедноста на веб апликациите што често се занемарува или погрешно се разбира. Обуката комбинира фокусирана содржина (HTTP заглавија), практични интерактивни вежби и реални алатки во единствено, кохезивно искуство за учење. Таа е дизајнирана да биде достапна и за почетници и за искусни програмери и веб администратори.
Дополнителни информации за курсот
| Категорија | Детали |
| Вредност на услугата | Учесниците ќе стекнат знаења и вештини, вклучувајќи: |
| Вештина 1: учење и разбирање на значењето на имплементација и правилна конфигурација на HTTP безбедносните заглавја.
Вештина 2: примена на правилна конфигурација на HTTP безбедносните заглавја кај Apache веб серверот Вештина 3: користење на алатки за проверка на конфигурација на HTTP безбедносните заглавја, како и алатки за тестирање на ранливости на веб апликации |
|
| Методи на учење | Комбинација на предавање и практични вежби, со групни дискусии |
| Референци/ресурси | [1] Aleksandra Mileva, Dushan Bikov, Bojana Tasheva, Aleksandra Brashnarova (2025) HTTP Security Headers Analysis of Several Macedonian Website Categories. Computer Science Journal of Moldova, vol. 33, no. 1(97) (accepted).
[2] SecurityHeaders [3] HTTP Observatory [4] OWASP Top Ten |
| Преглед на слајдови |