Skip to main content
Link list

Study Guide

Choose language
system.sr-kielenvaihto_fi system.sr-kielenvaihto_en

Applied Web Application Security: Attacks and DefenseLaajuus (6 cr)

Code: TX00CR92

Credits

6 op

Objective

The course focuses on threats to the WEB applications and the clients of the WEB applications. Most important attack vectors, as described by OWASP TOP-10, are considered. Attack vector combinations are considered and their combined impact to security is exposed. Special emphasis will be set on practical security protection methods.
The process of WEB application penetration testing will be based on relevant standards e.g.: the Penetration Testing Execution Standard.

Upon completing the course student is able to:
- be aware of the most severe WEP application attacks occurring daily world-wide (OWASP TOP-10)
- evaluate the impact of organizational risks associated with different WEB application threads
- use the Penetration Testing Execution Standard as a guideline to create organized and well documented WEB application testing procedure
- apply techniques and tools to test practical WEB application security level
- repair practical WEB application security vulnerabilities revealed by penetration testing

Content

Chapter 1: Introduction to WEB Application Security
Chapter 2: WEB Application Technologies and Frameworks
Chapter 3: WEB Application Defense Mechanisms
Chapter 4: Mapping the Application
Chapter 5: By-passing Client Side Controls
Chapter 6: Attacking Authentication
Chapter 7: Attacking Session Management
Chapter 8: Attacking Access Controls
Chapter 9: Injecting code
Chapter 10: Attacking Other Users
Chapter 11: Other Exploitation Methods
Chapter 12: Web Application Security Tools
Chapter 13: Penetration Testing Standards

Assessment criteria, satisfactory (1)

Students have achieved the required course objectives fairly. Students will be able to identify, define and use the course subject area’s concepts and models. The student understands the criteria and principles required for development

Assessment criteria, good (3)

Students have achieved the course objectives well, even though the knowledge and skills need improvement on some areas. Students are able to define the course concepts and models and are able to justify the analysis. The student is able to apply their knowledge in leisure, study and work situations. The student understands the importance of expertise in the field of information technology and is able to analyze his/her own expertise.

Assessment criteria, excellent (5)

Students have achieved the objectives of the course with excellent marks. Students master commendably the course subject area’s concepts and models. Students are able to make justified and fluent analysis and to present concrete development measures. The students are well prepared to apply their knowledge in leisure, study and work situations. Students are able to analyze the information technology sector expertise and the evolvement of their own expertise.

Open in new tab
Enrollment

18.12.2023 - 14.01.2024

Timing

15.01.2024 - 12.05.2024

Number of ECTS credits allocated

6 op

Virtual portion

6 op

Mode of delivery

Distance learning

Unit

School of ICT

Campus

Karaportti 2

Teaching languages
  • English
Seats

15 - 35

Degree programmes
  • Degree Programme in Information Technology
  • Information and Communication Technology
Teachers
  • Kimmo Sauren
Groups
  • TIVI-ELECT3
    IT Elective Studies / Tivi valinnaiset, moduuli 3

Objective

Tämä kurssi keskittyy Web-sovelluksiin ja sovelluksia käyttäviin asiakkaisiin. Kurssilla käsitellään tärkeimmät hyökkäysvektorit, jotka ovat kuvatut OWASP TOP-10 listalla. Kurssilla käsitellään hyökkäysvektorikombinaatiota ja niiden yhdistettyjä vaikutuksia turvallisuuteen. Kurssi painottaa erityisesti käyntännön hyökkäysmenetelmiä ja niiden toteuttamista.
Web applikaatioiden tietoturvatestausta käsitellään alan standardeihin näkökulmasta.
Kurssin suoritettuaan opiskelija osaa:
- On tietoinen vakavista Web-sovellustietoturvahyökkäyksistä (OWASP TOP-10).
- Pystyy arvioimaan Web-sovellusten aiheuttamista tietoturvauhkista organisaatiolle.
- Pystyy käyttämään alan standardeja hyväkseen ja toteuttamaan tietoturvatestauksen Web-sovellukselle.
- Osaa käytännön menetelmät Web-sovelluksen tietoturvatason testaamiseksi.
- Pystyy korjaamaan Web-sovellushaavoittuvaisuuksia, jotka tietoturvatestaus on löytänyt.

Content

Chapter 1: Introduction to WEB Application Security
Chapter 2: WEB Application Technologies and Frameworks
Chapter 3: WEB Application Defense Mechanisms
Chapter 4: Mapping the Application
Chapter 5: By-passing Client Side Controls
Chapter 6: Attacking Authentication
Chapter 7: Attacking Session Management
Chapter 8: Attacking Access Controls
Chapter 9: Injecting code
Chapter 10: Attacking Other Users
Chapter 11: Other Exploitation Methods
Chapter 12: Web Application Security Tools
Chapter 13: Penetration Testing Standards

Evaluation scale

0-5

Assessment criteria, satisfactory (1)

Opiskelija on saavuttanut opintojakson tavoitteet välttävästi. Opiskelija tunnistaa, osaa määritellä ja käyttää opintojakson aihepiirin käsitteitä ja malleja. Opiskelija ymmärtää asiantuntijuuden kehittymisen edellytykset ja periaatteet.

Assessment criteria, good (3)

Opiskelija on saavuttanut opintojakson tavoitteet hyvin, vaikka tiedoissa ja taidoissa onkin jollain alueilla vielä kehitettävää. Opiskelija osaa määritellä hyvin opintojakson aihepiirin käsitteitä ja malleja ja pystyy tekemään perusteltua analyysiä. Opiskelijalla on valmiuksia soveltaa oppimaansa opiskelun ja työelämän tilanteissa. Opiskelija ymmärtää asiantuntijuuden merkityksen tieto- ja viestintätekniikan alalla ja osaa analysoida omaa asiantuntijuuttaan.

Assessment criteria, excellent (5)

Opiskelija on saavuttanut opintojakson tavoitteet kiitettävästi. Opiskelija hallitsee kiitettävästi opintojakson aihepiirin käsitteet ja mallit. Opiskelija osaa analysoida sujuvasti ja perustellusti sekä esittää käytännön kehittämistoimenpiteitä. Opiskelijalla on hyvät valmiudet soveltaa oppimaansa opiskelun ja työelämän tilanteissa. Opiskelija osaa analysoida tieto- ja viestintätekniikan alan asiantuntijuutta ja omaa asiantuntijaksi kehittymistään

Open in new tab
Enrollment

19.12.2022 - 08.01.2023

Timing

22.02.2023 - 31.05.2023

Number of ECTS credits allocated

6 op

Virtual portion

4 op

Mode of delivery

34 % Contact teaching, 66 % Distance learning

Unit

School of ICT

Campus

Karaportti 2

Teaching languages
  • English
Seats

0 - 40

Degree programmes
  • Degree Programme in Information Technology
  • Information and Communication Technology
Teachers
  • Kimmo Sauren
Groups
  • TIVI-ELECT3
    IT Elective Studies / Tivi valinnaiset, moduuli 3

Objective

Tämä kurssi keskittyy Web-sovelluksiin ja sovelluksia käyttäviin asiakkaisiin. Kurssilla käsitellään tärkeimmät hyökkäysvektorit, jotka ovat kuvatut OWASP TOP-10 listalla. Kurssilla käsitellään hyökkäysvektorikombinaatiota ja niiden yhdistettyjä vaikutuksia turvallisuuteen. Kurssi painottaa erityisesti käyntännön hyökkäysmenetelmiä ja niiden toteuttamista.
Web applikaatioiden tietoturvatestausta käsitellään alan standardeihin näkökulmasta.
Kurssin suoritettuaan opiskelija osaa:
- On tietoinen vakavista Web-sovellustietoturvahyökkäyksistä (OWASP TOP-10).
- Pystyy arvioimaan Web-sovellusten aiheuttamista tietoturvauhkista organisaatiolle.
- Pystyy käyttämään alan standardeja hyväkseen ja toteuttamaan tietoturvatestauksen Web-sovellukselle.
- Osaa käytännön menetelmät Web-sovelluksen tietoturvatason testaamiseksi.
- Pystyy korjaamaan Web-sovellushaavoittuvaisuuksia, jotka tietoturvatestaus on löytänyt.

Content

Chapter 1: Introduction to WEB Application Security
Chapter 2: WEB Application Technologies and Frameworks
Chapter 3: WEB Application Defense Mechanisms
Chapter 4: Mapping the Application
Chapter 5: By-passing Client Side Controls
Chapter 6: Attacking Authentication
Chapter 7: Attacking Session Management
Chapter 8: Attacking Access Controls
Chapter 9: Injecting code
Chapter 10: Attacking Other Users
Chapter 11: Other Exploitation Methods
Chapter 12: Web Application Security Tools
Chapter 13: Penetration Testing Standards

Evaluation scale

0-5

Assessment criteria, satisfactory (1)

Opiskelija on saavuttanut opintojakson tavoitteet välttävästi. Opiskelija tunnistaa, osaa määritellä ja käyttää opintojakson aihepiirin käsitteitä ja malleja. Opiskelija ymmärtää asiantuntijuuden kehittymisen edellytykset ja periaatteet.

Assessment criteria, good (3)

Opiskelija on saavuttanut opintojakson tavoitteet hyvin, vaikka tiedoissa ja taidoissa onkin jollain alueilla vielä kehitettävää. Opiskelija osaa määritellä hyvin opintojakson aihepiirin käsitteitä ja malleja ja pystyy tekemään perusteltua analyysiä. Opiskelijalla on valmiuksia soveltaa oppimaansa opiskelun ja työelämän tilanteissa. Opiskelija ymmärtää asiantuntijuuden merkityksen tieto- ja viestintätekniikan alalla ja osaa analysoida omaa asiantuntijuuttaan.

Assessment criteria, excellent (5)

Opiskelija on saavuttanut opintojakson tavoitteet kiitettävästi. Opiskelija hallitsee kiitettävästi opintojakson aihepiirin käsitteet ja mallit. Opiskelija osaa analysoida sujuvasti ja perustellusti sekä esittää käytännön kehittämistoimenpiteitä. Opiskelijalla on hyvät valmiudet soveltaa oppimaansa opiskelun ja työelämän tilanteissa. Opiskelija osaa analysoida tieto- ja viestintätekniikan alan asiantuntijuutta ja omaa asiantuntijaksi kehittymistään

Open in new tab
Enrollment

20.12.2021 - 09.01.2022

Timing

22.02.2022 - 13.05.2022

Number of ECTS credits allocated

6 op

Virtual portion

5 op

Mode of delivery

17 % Contact teaching, 83 % Distance learning

Unit

School of ICT

Campus

Karaportti 2

Teaching languages
  • English
Seats

20 - 40

Degree programmes
  • Degree Programme in Information Technology
Teachers
  • Kimmo Sauren
Groups
  • TIVI-ELECT5
    IT Elective Studies / Tivi valinnaiset, moduuli 5

Objective

Tämä kurssi keskittyy Web-sovelluksiin ja sovelluksia käyttäviin asiakkaisiin. Kurssilla käsitellään tärkeimmät hyökkäysvektorit, jotka ovat kuvatut OWASP TOP-10 listalla. Kurssilla käsitellään hyökkäysvektorikombinaatiota ja niiden yhdistettyjä vaikutuksia turvallisuuteen. Kurssi painottaa erityisesti käyntännön hyökkäysmenetelmiä ja niiden toteuttamista.
Web applikaatioiden tietoturvatestausta käsitellään alan standardeihin näkökulmasta.
Kurssin suoritettuaan opiskelija osaa:
- On tietoinen vakavista Web-sovellustietoturvahyökkäyksistä (OWASP TOP-10).
- Pystyy arvioimaan Web-sovellusten aiheuttamista tietoturvauhkista organisaatiolle.
- Pystyy käyttämään alan standardeja hyväkseen ja toteuttamaan tietoturvatestauksen Web-sovellukselle.
- Osaa käytännön menetelmät Web-sovelluksen tietoturvatason testaamiseksi.
- Pystyy korjaamaan Web-sovellushaavoittuvaisuuksia, jotka tietoturvatestaus on löytänyt.

Content

Chapter 1: Introduction to WEB Application Security
Chapter 2: WEB Application Technologies and Frameworks
Chapter 3: WEB Application Defense Mechanisms
Chapter 4: Mapping the Application
Chapter 5: By-passing Client Side Controls
Chapter 6: Attacking Authentication
Chapter 7: Attacking Session Management
Chapter 8: Attacking Access Controls
Chapter 9: Injecting code
Chapter 10: Attacking Other Users
Chapter 11: Other Exploitation Methods
Chapter 12: Web Application Security Tools
Chapter 13: Penetration Testing Standards

Evaluation scale

0-5

Assessment criteria, satisfactory (1)

Opiskelija on saavuttanut opintojakson tavoitteet välttävästi. Opiskelija tunnistaa, osaa määritellä ja käyttää opintojakson aihepiirin käsitteitä ja malleja. Opiskelija ymmärtää asiantuntijuuden kehittymisen edellytykset ja periaatteet.

Assessment criteria, good (3)

Opiskelija on saavuttanut opintojakson tavoitteet hyvin, vaikka tiedoissa ja taidoissa onkin jollain alueilla vielä kehitettävää. Opiskelija osaa määritellä hyvin opintojakson aihepiirin käsitteitä ja malleja ja pystyy tekemään perusteltua analyysiä. Opiskelijalla on valmiuksia soveltaa oppimaansa opiskelun ja työelämän tilanteissa. Opiskelija ymmärtää asiantuntijuuden merkityksen tieto- ja viestintätekniikan alalla ja osaa analysoida omaa asiantuntijuuttaan.

Assessment criteria, excellent (5)

Opiskelija on saavuttanut opintojakson tavoitteet kiitettävästi. Opiskelija hallitsee kiitettävästi opintojakson aihepiirin käsitteet ja mallit. Opiskelija osaa analysoida sujuvasti ja perustellusti sekä esittää käytännön kehittämistoimenpiteitä. Opiskelijalla on hyvät valmiudet soveltaa oppimaansa opiskelun ja työelämän tilanteissa. Opiskelija osaa analysoida tieto- ja viestintätekniikan alan asiantuntijuutta ja omaa asiantuntijaksi kehittymistään