| Pole | KOD | Znaczenie kodu |
|---|
| Zamierzone efekty uczenia się | Itest_1A_D01.08_W01 | Posiada wiedzę z zakresu testowania i zapewniania bezpieczeństwa w aplikacjach webowych. |
|---|
| Odniesienie do efektów kształcenia dla kierunku studiów | I_1A_W05 | Ma wiedzę o nowoczesnych metodach projektowania, analizowania, wytwarzania, testowania oprogramowania oraz rozwiązywania wybranych zadań inżynierskich obejmujących w szczególności narzędzia wspomagające wytwarzanie oprogramowania na różnych etapach powstawania, eksploatacji i rozwoju systemów informatycznych. |
|---|
| Cel przedmiotu | C-1 | Zapoznanie studentów z typowymi zagrożeniami bezpieczeństwa aplikacji webowych |
|---|
| C-2 | Zapoznanie studentów z typowymi metodami i technikami testowania aplikacji webowych |
| Treści programowe | T-W-2 | Bezpieczeństwo protokołu HTTP - szyfrowanie i certyfikaty, zabezpieczanie plików cookie, mechanizmy bezpieczeństwa w przeglądarkach internetowych (Same-Origin Policy, Cross-Origin Resource Sharing) |
|---|
| T-W-3 | Uwierzytelnianie i zarządzanie sesją w aplikacjach webowych, protokół OAuth i standard OpenID, tokeny JWT i ich bezpieczeństwo. Zabezpieczenia połączeń protokołu Websocket. |
| T-W-4 | Typowe podatności aplikacji webowych - Cros-Site Scripting, Cross-Site Request Forgery, Server-Side Request Forgery, SQL Injection, Path Traversal, Code Injection. Niebezpieczństwa związane z deserializacją. |
| T-W-1 | Zapewnianie bezpieczeństwa i kontrola dostępu w aplikacjach strony serwera - przykłady rozwiązań na podstawie frameworku Spring i komponentu Spring Security. |
| T-W-5 | Testowanie End-to-End w aplikacjach webowych - podejścia i metody, testowanie manualne i automatyczne, przegląd rozwiązań do testowania automatycznego |
| T-W-6 | Testowanie automatyczne z użyciem Selenium WebDrvier - przegląd możliwości i obszarów zastosowań, wady i zalety, konfiugracja i wykorzystanie, wsparcie dla różnych języków programowania |
| T-W-7 | Testowanie automatyczne z użyciem frameworku Cypress - przegląd możliwości i obszarów zastosowań, wady i zalety, dostępne techniki raportowania testów |
| T-W-8 | Podsumowanie kursu, zaliczenie |
| T-L-1 | Zapewnianie dostępu w aplikacji webowej Spring Boot - konfiguracja aplikacji, autentykacja, autoryzacja dostępu do kontrolerów |
| T-L-2 | Zapewnianie dostępu w web-serwisie REST - konfiguracja aplikacja, autentykacji, autoryzacja dostepu do punktów końcowych |
| T-L-3 | Uzyskiwanie poświadczeń tożsamości z wykorzystaniem zewnętrznego dostawy i protokołu OAuth 2 |
| T-L-4 | Zabezpieczenia aplikacji webowej przed atakami typu XSS i XSRF. |
| T-L-5 | Planowanie, realizacja i dokumentacja testów end-to-end na przykładowej aplikacji |
| T-L-6 | Testowanie automatyczne typu end-to-end z użyciem frameworku Selenium WebDriver |
| T-L-7 | Testowanie automatyczne typu end-to-end z wykorzystaniem frameworku Cypress |
| Metody nauczania | M-1 | Wykład informacyjny |
|---|
| Sposób oceny | S-2 | Ocena podsumowująca: Test zaliczeniowy wielokrotnego wyboru |
|---|
| Kryteria oceny | Ocena | Kryterium oceny |
|---|
| 2,0 | |
| 3,0 | Student posiada podstawową wiedzę z zakresu zagrożeń bezpieczenśtwa aplikacji webowych oraz zakresu ich testowania |
| 3,5 | |
| 4,0 | Student posiada podstawową wiedzę z zakresu zagrożeń bezpieczenśtwa aplikacji webowych oraz potrafi właściwie dobierać metody i techniki przeciwadziałania zagrożeniom. Posiada podstawową wiedzę z zakresu testowania i interpretowania wyników testów. |
| 4,5 | |
| 5,0 | Student posiada bardzo dobrą wiedzę z zakresu zagrożeń bezpieczenśtwa aplikacji webowych oraz potrafi właściwie dobierać metody i techniki przeciwadziałania zagrożeniom. Posiada bardzo dobrą wiedzę z zakresu testowania aplikacji webowych, interpretowania wyników oraz opracowywania strategii testów. |