Sovellusten hakkerointi ja haavoittuvuudet - Opinto-opas

Opi tunnistamaan ja korjaamaan haavoittuvuuksia ohjelmissa.

Kurssin käytyään opiskelija osaa
- Etsiä yksinkertaisia haavoittuvuuksia sovelluksista
- Korjata yksinkertaisia haavoittuvuuksia lähdekoodista
- Tutkia alustavasti tuntemattoman ohjelman toimintaa, myös ilman lähdekoodia

Kurssin käytyään opiskelijalla on käsitys sovellusten tietoturvan suhteesta uhkamalliin ja standardien hyödyntämisestä sovellusten tietoturvan kehittämisessä.

Kurssin alkaessa tulee osata

- Ohjelmoinnin perusteet
- Linuxin alkeet
- Linuxin asennus virtuaalikoneeseen omalle läppärille

Millä tahansa tavalla hankitut esitiedot kelpaavat. Tiedot on voinut hankkia esimerkiksi kursseilla "Linux palvelimet" tai "Ohjelmointi 1", mutta itse opeteltu sopii myös.

Esitiedot tarkistetaan tarvittaessa kyselyllä, ja kurssille valittavat voidaan tarvittaessa valita alkutestin perusteella.

Jos osaat aiheet jo, kertauspakettia ei tarvitse lukea. Lähtötasosta löytyy kertauspaketti https://terokarvinen.com/application-hacking/#kertauspaketti

- Standardit ja kehykset.
- Weppiin tunkeutuminen ja sovelluksen korjaaminen.
- Staattinen analyysi.
- Dynaaminen analyysi.
- Sulautetut järjestelmät.
- Salakirjoitus.
- Lipunryöstö

Pystyy mekaanisesti käyttämään yksinkertaisia sovellusten tutkimis- ja tunkeutumismenetelmiä helpossa kontekstissa.

Pystyy paikkaamaan haavoittuvuuksia helpoista ja lyhyistä koodeista käyttämällä tunnettujen tunkeutumistapojen tavallisia korjaustapoja sellaisenaan, kun kielet ovat tuttuja.

Osallistunut aktiivisesti opetukseen. Palauttanut kaikki pakolliset kotitehtävät.

Pystyy soveltamaan tunkeutumis- ja tutkimusmenetelmiä uusiin tapauksiin. Pystyy suppeasti soveltamaan haavojen paikkausmenetelmiä.

Pystyy osin toimimaan myös tuttujen ympäristöjen ja kielten ulkopuolella.

Täyttää kaikkien alempien arvosanojen kriteerit.

Pystyy tutkimaan sovelluksia ja tunnistamaan haavoittuvuuksia. Pystyy soveltamaan opittuja tekniikoita ja opettelemaan itsenäisesti uusia.

Pystyy arvioimaan haavoittuvuuksien merkitystä tietoturvalle laajemmin.

Kurssin suunnittelussa on hyödynnetty palautetta kursseilta Tunkeutumistestaus ja valituilta ohjelmointikursseilta, kuten "Python weppipalvelu - ideasta tuotantoon". Noilla kummallakin kurssilla parhaan toteutuksen palaute on 5.0 /5, jokainen osallistuja jätti palautetta ja jokainen oli 5. Vanhojen kurssien palautteeseen voi perehtyä http://TeroKarvinen.com.

Opintojaksojen contact-, online ja blended-toteutuksilla edellytämme läsnäoloa lukujärjestykseen merkityillä opetuskerroilla. Jos olet poissa opetuskerroilta yli 25 % arvosanasi laskee yhdellä numerolla. Jos olet poissa opetuskerroilta yli 50 %, opintojakso hylätään.

Koska kurssilla opetellaan tunkeutumistekniikoita, osallistuminen edellyttää kurssin sääntöjen hyväksymistä.

Lähiopetus kerran viikossa, omat läppärit mukaan.

Joka viikko kotitehtäviä, joissa voi olla mukana ohjelmointia ja teknisesti haastavia ohjelmien analyysitehtäviä. Analyyseista palautetaan täsmällinen kirjallinen raportti. Raporteista laaditaan ristiinarviointi.

Kurssi edellyttää aktiivista osallistumista opetukseen ja kaikkien pakollisten kotitehtävien palauttamista viikottain.

Opit käytännössä ohjelmien tutkimista ja haavoittuvuuksien etsimistä. Tututstut joihinkin alan johtaviin työkaluihin, aina strings:istä NSA:n Ghidraan.

Kurssin aikana jaettava ja linkitetty materiaali sisältää sovellusten virallisia oppaita, kolmannen osapuolen tekemiä ohjeita ja muita verkkomateriaaleja. Luettavat alueet kirjoista pyritään valitsemaan mahdolisuuksien mukaan niin, että ne ovat luettavissa Haaga-Helian kirjaston kautta opiskelijatunnuksilla.

Kannustetaan materiaalin julkaisuun myös kurssin käytänteillä. Osoitetaan mahdollisuus oman harrastuneisuuden puitteissa osallistua tietoturvaskenen tapahtumiin ja lipunryöstöihin.

Pasilan toimipiste

Suomi

Käytetään kansainvälistä materiaalia ja sovelluksia. Mahdollisuus julkaista kurssin raportit suuren yleisön saataville Internetiin.

21.10.2024 - 13.12.2024

- Aktiivinen osallistuminen oppitunteihin - Tuntitehtävät - Läksyt viikottain, voivat sisältää ohjelmointia. Analyysitehtävistä yksityiskohtaiset, toistettavat raportit. - Raporttien ristiinarviointi

03.06.2024 - 18.10.2024

Aikataulu on alustava ja muuttuu kurssin aikana.

2024-10-22 w43 Tue Johdanto. Järjestäytyminen. Standardit ja kehykset.
2024-10-29 w44 Tue Weppiin tunkeutuminen.
2024-11-05 w45 Tue Weppiin tunkeutuminen.
2024-11-12 w46 Tue Staattinen analyysi. Ghidra. Srings, file...
2024-11-19 w47 Tue Dynaaminen analyysi. Debuggerit ja gdb.
2024-11-26 w48 Tue Sulautetut järjestelmät.
2024-12-03 w49 Tue Salakirjoitus.
2024-12-10 w50 Tue Lipunryöstö

CONTACT
ITB5PASOF1
BLENDED
IT4PAICI1
IT5PASOF1
ITB4PAICI1

Opiskelijan halutessa suorittaa opintojakso AHOT-menettelyä käyttäen, tulee opiskelijan ilmoittautua normaalisti opintojaksolle ja ottaa kurssin alkaessa yhteyttä opintojakson opettajaan AHOT-menettelyn käynnistämiseksi. AHOT edellyttää nimenomaan kurssi- ja toteutuskuvauksessa mainittujen taitojen osaamista ennestään esimerkiksi työn ja harrastusten kautta.

Tero Karvinen, Lari Iso-Anttila

15 - 30

- Akttivinen osallistuminen oppitunteihin
- Läksyt
- Lipunryöstö

TRATI Tradenomi tietojenkäsittely

0.00 op

H-5