WEB SECURITY

Il corso è un insegnamento fondamentale del curriculum di Cybersecurity e si propone di fornire i concetti fondamentali e le tecniche per lo sviluppo di applicazioni web sicure. Lo studente imparerà le principali vulnerabilità web e le opportune difese da mettere in pratica contro eventuali attaccanti.

Gli studenti raggiungeranno i seguenti risultati di apprendimento:

i) Conoscenza e comprensione: comprensione del funzionamento della piattaforma web, delle sue problematiche di sicurezza e delle principali tecniche di difesa contro i relativi attacchi.

ii) Capacità di applicare conoscenza e comprensione: capacità di identificare vulnerabilità all'interno di applicazioni web esistenti e di correggerle tramite strumenti opportuni.

iii) Capacità di giudizio: capacità di identificare la superficie d'attacco contro applicazioni web, comprenderne le implicazioni di sicurezza e scegliere gli strumenti opportuni per aumentare il livello di protezione.

iv) Abilità comunicative: saper esporre in maniera chiara la natura di una vulnerabilità e le relative mitigazioni.

v) Capacità di apprendimento: saper studiare in autonomia nuove problematiche di sicurezza, le relative soluzioni e gli strumenti atti ad identificarle.

Si richiede una conoscenza base di programmazione (programmazione imperativa e scripting), reti di calcolatori e crittografia.

Sicurezza web: sicurezza lato client, sicurezza lato server, comunicazione sicura, protocolli web. Cenni di argomenti di ricerca.

I seguenti libri di testo sono opzionali, ma suggeriti agli studenti che vogliano avere riferimenti più precisi ed approfondire l'argomento:

D. Stuttard, M. Pinto - The Web Application Hacker's Handbook (2011)
M. McDonald - Grokking Web Application Security (2024)

La verifica dell'apprendimento avviene attraverso una prova scritta con domande ed esercizi che ha lo scopo di accertare le conoscenze acquisite sui diversi argomenti del corso. Il corso prevede inoltre una serie di esercitazioni opzionali in itinere atte ad approfondire specifici argomenti del corso, che integrano il voto della prova scritta e mettono lo studente di fronte a rilevanti problemi pratici.

La prova scritta verifica l'obiettivo i) e vale complessivamente 30 punti, mentre le esercitazioni verificano l'obiettivo ii) e valgono fino a 3 punti aggiuntivi rispetto al voto dello scritto. Gli obiettivi iii), (iv) e (v) sono verificati da entrambe le prove. In particolare, lo studente verrà valutato rispetto a questi criteri:

i) Conoscenza e comprensione: lo studente dovrà dimostrare di avere familiarità con le principali tecniche di attacco e difesa relativi alla piattaforma web.

ii) Capacità di applicare conoscenza e comprensione: lo studente dovrà dimostrare di saper identificare nuove vulnerabilità di sicurezza all'interno di applicazioni web e proporre soluzioni opportune.

iii) Capacità di giudizio: lo studente dovrà dimostrare di saper analizzare i principali problemi di sicurezza di un'applicazione web e progettare applicazioni web sicure.

iv) Abilità comunicative: lo studente dovrà dimostrare familiarità con il linguaggio tecnico e chiarezza nell'esposizione per quanto riguarda attacchi e difese.

v) Capacità di apprendimento: lo studente dovrà dimostrare di essere in grado di affrontare nuovi scenari di studio rispetto a quelli visti a lezione.

scritto

Il/la docente ha il dovere di vigilare affinché siano rispettate le regole di autenticità e originalità delle prove d'esame. Di conseguenza, nei casi in cui vi sia il sospetto di un comportamento irregolare, l'esame può prevedere un ulteriore approfondimento, contestuale alla prova d'esame, che potrà essere realizzato anche in modalità differente rispetto alle modalità sopra riportate.

Relativamente ai criteri indicati, punteggi nella fascia 18-22 indicano competenze sufficienti ma limitate, punteggi nella fascia 23-26 indicano competenze discrete o più che discrete, punteggi nella fascia 27-30 indicano competenze da buone a ottime.

Lezioni teoriche in aula;
Risorse online (note e slide);
Laboratori ed esercitazioni.