Центр дистанционного обучения КнАГУ

Distance Education Center of KnASU

Анализ защищенности распределенных информационных систем

Аннотация

В ходе данного курса слушатели изучают вопросы защиты распределенных информационных систем и наиболее часто встречающиеся уязвимости из OWASP TOP 10.

О курсе

Курс посвящен

Данный курс посвящен защите информации в распределенных информационных системах. В ходе курса рассматриваются наиболее часто встречающиеся уязвимости из OWASP Top 10 2021. Целью курса является ознакомление слушателей с возможными векторами атак злоумышленников и формирование компетенций по проведению penetration testing - тестирования на проникновения. В ходе курса лабораторные выполняются на специальных виртуальных машинах которые могут быть либо установленны на компьютеры слушателей, либо уже "развернуты" в виртуальной лаборатории. Рассматриваемый материал в ходе курса носит исключительно образовательный характер.  

#  -_____-_-----_-------_---------------------------------------------_-----_---------------------------
#  |_---_|-|---(_)-----(_)-------------------------------------------|-|---|-|--------------------------
#  --|-|-|-|__--_-___---_-___----___--_---_-_-__--__------_____--_-__|-|-__|-|--_-__---_____------__----
#  --|-|-|-'_-\|-/-__|-|-/-__|--/-_-\|-|-|-|-'__|-\-\-/\-/-/-_-\|-'__|-|/-_`-|-|-'_-\-/-_-\-\-/\-/-/----
#  --|-|-|-|-|-|-\__-\-|-\__-\-|-(_)-|-|_|-|-|-----\-V--V-/-(_)-|-|--|-|-(_|-|-|-|-|-|-(_)-\-V--V-/-_-_-
#  -_\_/_|_|-|_|_|___/-|_|___/--\___/-\__,_|_|_-----\_/\_/_\___/|_|--|_|\__,_|-|_|-|_|\___/-\_/\_(_|_|_)
#  |-|-|-|-----------------------------|-|---|-|--------/-_|-|-|-|-|------------------------------------
#  |-|_|-|__---___--__------_____--_-__|-|-__|-|---___-|-|_--|-|_|-|__---___----------------------------
#  |-__|-'_-\-/-_-\-\-\-/\-/-/-_-\|-'__|-|/-_`-|--/-_-\|--_|-|-__|-'_-\-/-_-\---------------------------
#  |-|_|-|-|-|--__/--\-V--V-/-(_)-|-|--|-|-(_|-|-|-(_)-|-|---|-|_|-|-|-|--__/---------------------------
#  -\__|_|-|_|\___|--_\_/\_/-\___/|_|--|_|\__,_|--\___/|_|-_--\__|_|-|_|\___|---------------------------
#  -----|-|---------|-|-----------------------------------|-|-|-|-|-|-----------------------------------
#  --___|-|-___--___|-|_-_-__-___--_-__-----__-_-_-__---__|-|-|-|_|-|__---___---------------------------
#  -/-_-\-|/-_-\/-__|-__|-'__/-_-\|-'_-\---/-_`-|-'_-\-/-_`-|-|-__|-'_-\-/-_-\--------------------------
#  |--__/-|--__/-(__|-|_|-|-|-(_)-|-|-|-|-|-(_|-|-|-|-|-(_|-|-|-|_|-|-|-|--__/--------------------------
#  -\___|_|\___|\___|\__|_|_-\___/|_|_|_|_-\__,_|_|-|_|\__,_|--\__|_|-|_|\___|--------------------------
#  -------------(_)-|-----|-|-------|-|-|-|----------|-|--------------------|-|-------------------------
#  -_____------___|-|_-___|-|__-----|-|_|-|__---___--|-|__---___--__-_-_---_|-|_-_---_------------------
#  /-__\-\-/\-/-/-|-__/-__|-'_-\----|-__|-'_-\-/-_-\-|-'_-\-/-_-\/-_`-|-|-|-|-__|-|-|-|-----------------
#  \__-\\-V--V-/|-|-||-(__|-|-|-|_--|-|_|-|-|-|--__/-|-|_)-|--__/-(_|-|-|_|-|-|_|-|_|-|-----------------
#  |___/-\_/\_/-|_|\__\___|_|-|_(-)--\__|_|-|_|\___|-|_.__/-\___|\__,_|\__,_|\__|\__,-|-----------------
#  --------__---_---_-----------|/---------------------_--------------------------__/-|-----------------
#  -------/-_|-|-|-|-|----------|-|-------------------|-|------------------------|___/------------------
#  --___-|-|_--|-|_|-|__---___--|-|__---__-_-_---_--__|-|-----------------------------------------------
#  -/-_-\|--_|-|-__|-'_-\-/-_-\-|-'_-\-/-_`-|-|-|-|/-_`-|-----------------------------------------------
#  |-(_)-|-|---|-|_|-|-|-|--__/-|-|_)-|-(_|-|-|_|-|-(_|-|_----------------------------------------------
#  _\___/|_|----\__|_|_|_|\___|-|_.__/-\__,_|\__,_|\__,_(_)---------------------------------------------
#  |--\/--|----------|-|--------------------------------------------------------------------------------
#  |-.--.-|-___-_-__-|-|_-___--_-__---------------------------------------------------------------------
#  |-|\/|-|/-_-\-'_-\|-__/-_-\|-'__|--------------------------------------------------------------------
#  |-|--|-|--__/-|-|-|-||-(_)-|-|-----------------------------------------------------------------------
#  \_|--|_/\___|_|-|_|\__\___/|_|-----------------------------------------------------------------------
#  -----------------------------------------------------------------------------------------------------
#  -----------------------------------------------------------------------------------------------------
  "Глубина-глубиная не твой… Отпусти меня, глубина" - С. Лукьяненко.

Расписание курса

Модуль 1 : Уязвимости OWASP Top 10.

Угрозы безопасности информации

  • Методика определения угроз безопасности(Традиционная лекция)

CTF и анализ

  • CTF и анализ(Лабораторная работа)

Уязвимости по OWASP top 10

  • Уязвимости OWASP(Видеолекция)

  • Площадка https://www.hacksplaining.com/(Лабораторная работа)

XSS от google

  • XSS как одна из популярных уязвимостей веб приложений(Лабораторная работа)

https://www.root-me.org/

  • root-me Web Server часть 1(Лабораторная работа)

  • root-me Web Server часть 2(Лабораторная работа)

  • root-me Web Server часть 3(Лабораторная работа)

  • root-me (Дополнительный материал)

HTB

  • HTB (Дополнительный материал)

Модуль 2 : Тестирование на проникновение.

Площадка https://sql.training.hackerdom.ru/

  • Тестирование на наличие sql инъекций(Лабораторная работа)

Тестирование сайтов

  • testasp.vulnweb.com(Лабораторная работа)

Тестирование сетей Wifi

  • Анализ защищенности wifi сетей(Лабораторная работа)

Модуль 3 : Итоговая работа.

Итоговая работа

  • Отчет о прохождении курса(Квалификационная работа)

Информационные ресурсы

1. И.А. Трещев, Г.Ф. Вильдяйкин, И.А. Кожин Безопасность операционных систем. Часть 1. Raid, восстановление файлов, metasploit // Издательские решения 2020 - 140c.

2. И.А. Трещев, Г.Ф. Вильдяйкин, И.А. Кожин. Администрирование распределенных информационных систем. Часть 1. Администрирование информационных систем. // Издательские решения 2020 - 162c.

3. И.А. Трещев, С.В. Прокофьев. Администрирование распределенных информационных систем. Часть 2. Технологии информационных систем // Издательские решения 2021 - 228c.

4. И.А. Трещев, С.В. Прокофьев. Безопасность операционных систем. Часть 2. Операционные системы, уязвимости. // Издательские решения 2021 - 262c.

5. И.А. Трещев Анализ защищенности распределенных информационных систем. // Издательские решения 2020 - 102с.

6. И.А. Трещев, Г.Ф. Вильдяйкин, А.С. Ватолина Технология сканирования на наличие уязвимостей / Издательские решения, 2020. — 136 с. ISBN 978-5-4498-9961-3

7. И.А. Трещев, А.С. Ватолина, В.А. Сериков Техника и технология атак злоумышленников в распределенных информационных системах. Часть 1 Рекогнасцировка, начала атак. / Издательские решения, 2021. — 160 с. ISBN 978-5-0055-1061-7 (т. 1) ISBN 978-5-0055-1062-4

 

Дополнительный инструментарий

1. Операционная система Microsoft Windows 7/8/10/11 professional.

2. Офисный пакет Microsoft Office 2010 или аналог(например Open Office).

3. Операционная система Microsoft Windows Server 2019/2022.

4. Операционная система Kali Linux или аналог.

5. Операционная система Ubuntu или аналог.

6. Гипервизор Virtual Box или аналог.

7. Обозреватель Google Chrome или аналог.

8. Средство просмотра pdf файлов (можно свободно-распространяемый Foxit Reader).

9. Metasploit Framework, sqlmap и другие утилиты из состава kali linux.

10. Сканеры уязвимостей XSpider и СканерВС

11. Набор виртуальных машин с предустановленными образами свободно-распространяемых сборок операционных систем Web For Pentester I, Web For Pentester II, DVWA, Metasploitable, Beebox

12. Owasp ZAP (в составе Kali Linux уже установлен).

Часто задаваемые вопросы

В: Можно развернуть необходимые операционные системы и выполнять лабораторные работы дома?

О: Конечно можно, дополнительно по вариантам необходимо развернуть одну операционную систему для анализа уязвимостей, поэтому много ресурсов не потребуется.

Оценивание и документы

Правила Формирования оценки

Лабораторные работы (9 шт.)

5 баллов за работу

Расчетно-графические работы (1 шт.)

25 баллов за работу

 

Система оценивания

Максимальное количество баллов за курс 70.

Критерии оценки результатов обучения по дисциплине:

0 – 64 % от максимально возможной суммы баллов – «неудовлетворительно» (недостаточный уровень для промежуточной аттестации по дисциплине);

65 – 74 % от максимально возможной суммы баллов – «удовлетворительно» (пороговый (минимальный) уровень);

75 – 84 % от максимально возможной суммы баллов – «хорошо» (средний уровень);

85 – 100 % от максимально возможной суммы баллов – «отлично» (высокий (максимальный) уровень).

Направления подготовки

  • 10.05.03 Информационная безопасность автоматизированных систем



Модулей 3

Часов 108

Недель 10

Часов в неделю 4

КнАГУ

Комсомольский-на-Амуре Государственный Университет

Преподаватели