Course details

Secure Coding

SCO Acad. year 2023/2024 Winter semester 5 credits

Guarantor

Hanáček Petr, doc. Dr. Ing. (DITS)

Course coordinator

Kolář Dušan, doc. Dr. Ing. (DIFS)

Language of instruction

Czech

Completion

Credit+Examination (written)

Time span

  • 26 hrs lectures
  • 26 hrs projects

Assessment points

  • 55 pts final exam (written part)
  • 45 pts projects

Department

Department of Intelligent Systems (UITS)

Lecturer

Hanáček Petr, doc. Dr. Ing. (DITS)
Kolář Dušan, doc. Dr. Ing. (DIFS)
Malinka Kamil, Mgr., Ph.D. (DITS)

Instructor

Kolář Dušan, doc. Dr. Ing. (DIFS)
Malinka Kamil, Mgr., Ph.D. (DITS)

Learning objectives

 


Study literature

  • Fred Long et al. The Oracle/CERT Secure Coding Standard for Java, Addison-Wesley, 2011. Available online at http://www.cert.org/secure-coding/
  • The OWASP web application security project: https://www.owasp.org/
  • Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF), https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04232020.pdf
  • Michael Howard, David LeBlanc: Writing Secure Code, Microsoft Press, Second Edition, ISBN-13: 978-0735617223
  • John Viega, Matt Messier: Secure Programming Cookbook for C and C++, 2003, O'Reilly Media, Inc., ISBN: 9780596003944
  • Michael Howard, Steve Lipner: The Security Development Lifecycle, 2006, Microsoft Press, ISBN: 0735622140
  • Ross Anderson: Security Engineering: A Guide to Building Dependable Distributed Systems, 3rd Edition, ISBN: 978-1-119-64281-7

Syllabus of lectures

  1. Úvod, rekapitulace pojmů (robustní kód, bezpečný kód, samo se chránící kód, reentrantní kód, intermediární kód, binární kód, binární kód pro VM, role OS, role VM, ...). (DK)
  2. Cíle útočníků, únik z pískovište, elevace privilegií, cesta od zranitelnosti k exploitu, CVE. (HaP)
  3. Základní zranitelnosti kompilovaných jazyků - buffer overflow, řetězce, integer overflow. (HaP)
  4. Mechanismy ochrany paměti, ochrana zásobníku, Return oriented programming, ASLR. Základní zranitelnosti interpretovaných jazyků - práce s pamětí, use after free. (HaP)
  5. Usable security a vliv UX na bezpečnost celého systému. Bezpečnost implementace protokolů, IoT, bezpečnost API. (KM)
  6. Validace vstupních hodnot, testování, fuzzing. (DK)
  7. Statická a dynamická analýza. (DK)
  8. Standardy pro bezpečné kódování, OWASP, SSDF. (KM)
  9. Bezpečné generování náhodných čísel. (HaP)
  10. Seminář - Útok na javascript a jak se tomu bránit. (DK, KM)
  11. Seminář - Útok na Java a jak se tomu bránit. (DK, KM)
  12. Seminář - Útoky na binárku a jak se tomu bránit. (DK, KM)
  13. Seminář - Demonstrace zajímavých projektů, řešení. (KM)

Syllabus - others, projects and individual work of students

Samostatně řešené projekty.

Schedule

DayTypeWeeksRoomStartEndCapacityLect.grpGroupsInfo
Mon lecture 1., 6., 7., 13. of lectures G202 09:0010:5080 1MIT 2MIT xx Kolář
Mon lecture 5., 8., 10., 11., 12. of lectures G202 09:0010:5080 1MIT 2MIT xx Malinka
Mon exam 2024-01-22 E104 16:0017:50 1. termín
Mon lecture 2., 3., 4., 9. of lectures G202 18:0019:5080 1MIT 2MIT xx Hanáček
Tue exam 2024-01-16 E112 08:0009:50 řádná
Tue exam 2024-01-30 D105 13:0014:50 2. termín

Course inclusion in study plans

Back to top