SecSem Wiki - Вклад [ru]

Безопасность компьютерных систем (2025)

2025-12-02T09:35:40Z

Voronovm: /* Реверс-инженерия и бинарная эксплуатация */

__NOTOC__
Курс '''Безопасность компьютерных систем''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для группы 392.

* '''Когда''': по средам, 8:45
* '''Где''': аудитория 609

Основные темы, которые будут затронуты в курсе 2024/2025 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

== Материалы лекций ==
=== Полезные ссылки ===
* Playground для тренировки с SQL: https://onecompiler.com/mysql/
* Тестовые лабы и теория в Portswigger Academy: https://portswigger.net/web-security/dashboard
* Playground для тренировки с HTML/JS/CSS: https://jsfiddle.net/

=== Веб ===
* Лекция 1 (10 сентября 2025) [https://disk.360.yandex.ru/d/WrXzVXEu495RQQ Вводная лекция]
* Лекция 2 (17 сентября 2025) [https://drive.google.com/file/d/12GBstwTI5LlZGTZ5_9H_ZHjAnZMqzhck/ Введение в предметную область. Фреймворк для обсуждения недостатков]
* Лекция 3 и 4 (24 сентября и 1 октября 2025) [https://drive.google.com/file/d/13BNT4kJAwww38YWiOroeAPuY39QxRjmK/ Веб-приложения: уязвимости к Injection-атакам. SQL injection, XSS]
* Лекция 5 и 6 (8 и 15 октября 2025) [https://drive.google.com/file/d/1NdZoyqhszkh1l3etrmzp8C8TUl_pG2GS/ Веб-приложения: валидация сложных форматов данных, атаки на FileUpload]
* Лекция 7 (22 октября 2025) [https://drive.google.com/file/d/15SZIXxR0g8msYuYRlEKMUhwjkgSmTafB/ Веб-приложения: загрузка картинки по URL и SSRF; Cross-Site Request Forgery]
* Лекция 8 (29 октября 2025) [https://drive.google.com/file/d/1zLxYUX0fFPUO3N2g3J7UfJY5e3Odi1HH/ Веб-приложения: Cross Origin Resource Sharing; авторизация и модели управления доступом]

=== Реверс-инженерия и бинарная эксплуатация ===

* Лекция 9 (5 ноября 2025) [https://disk.yandex.ru/i/Hs7iYfZhmeMIRw Теоретическая лекция про обратную разработку] [https://disk.yandex.ru/i/_8yB3-XKuhsi_Q запись]
* Лекция 10 (12 ноября 2025) [https://disk.yandex.ru/i/BZfrKlnT2DSEcA Устройство Memory management подсистемы *nix ОС] [https://disk.yandex.ru/i/IxLt-Eqtpj-Zsg запись]
* Лекция 11 (19 ноября 2025) [https://disk.yandex.ru/i/8l-5UC8475ijBw Линковка и загрузка исполняемых файлов] [https://disk.yandex.ru/i/dCp6xubMLMRdfQ запись]
* Лекция 12 (26 ноября 2025) [https://disk.360.yandex.ru/d/Jpur6gv1vHNO3Q Устройство аллокатора dlmalloc и уязвимости в нём]

Безопасность компьютерных систем (2025)

2025-12-02T09:32:19Z

Voronovm:

__NOTOC__
Курс '''Безопасность компьютерных систем''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для группы 392.

* '''Когда''': по средам, 8:45
* '''Где''': аудитория 609

Основные темы, которые будут затронуты в курсе 2024/2025 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

== Материалы лекций ==
=== Полезные ссылки ===
* Playground для тренировки с SQL: https://onecompiler.com/mysql/
* Тестовые лабы и теория в Portswigger Academy: https://portswigger.net/web-security/dashboard
* Playground для тренировки с HTML/JS/CSS: https://jsfiddle.net/

=== Веб ===
* Лекция 1 (10 сентября 2025) [https://disk.360.yandex.ru/d/WrXzVXEu495RQQ Вводная лекция]
* Лекция 2 (17 сентября 2025) [https://drive.google.com/file/d/12GBstwTI5LlZGTZ5_9H_ZHjAnZMqzhck/ Введение в предметную область. Фреймворк для обсуждения недостатков]
* Лекция 3 и 4 (24 сентября и 1 октября 2025) [https://drive.google.com/file/d/13BNT4kJAwww38YWiOroeAPuY39QxRjmK/ Веб-приложения: уязвимости к Injection-атакам. SQL injection, XSS]
* Лекция 5 и 6 (8 и 15 октября 2025) [https://drive.google.com/file/d/1NdZoyqhszkh1l3etrmzp8C8TUl_pG2GS/ Веб-приложения: валидация сложных форматов данных, атаки на FileUpload]
* Лекция 7 (22 октября 2025) [https://drive.google.com/file/d/15SZIXxR0g8msYuYRlEKMUhwjkgSmTafB/ Веб-приложения: загрузка картинки по URL и SSRF; Cross-Site Request Forgery]
* Лекция 8 (29 октября 2025) [https://drive.google.com/file/d/1zLxYUX0fFPUO3N2g3J7UfJY5e3Odi1HH/ Веб-приложения: Cross Origin Resource Sharing; авторизация и модели управления доступом]

=== Реверс-инженерия и бинарная эксплуатация ===

* Лекция 9 (5 ноября 2025) [https://disk.yandex.ru/i/Hs7iYfZhmeMIRw Теоретическая лекция про обратную разработку]
* Лекция 10 (12 ноября 2025) [https://disk.yandex.ru/i/BZfrKlnT2DSEcA Устройство Memory management подсистемы *nix ОС]
* Лекция 11 (19 ноября 2025) [https://disk.yandex.ru/i/8l-5UC8475ijBw Линковка и загрузка исполняемых файлов]
* Лекция 12 (26 ноября 2025) [https://disk.360.yandex.ru/d/Jpur6gv1vHNO3Q Устройство аллокатора dlmalloc и уязвимости в нём]

Безопасность компьютерных систем (2024)

2024-11-23T00:35:58Z

Voronovm: /* Реверс-инженерия и бинарная эксплуатация */

Безопасность компьютерных систем (2022)

2023-03-23T11:01:36Z

Voronovm: /* Криптография и криптоанализ */

Безопасность компьютерных систем (2022)

2023-03-23T11:01:23Z

Voronovm: /* Криптография и криптоанализ */

__NOTOC__
Курс '''Безопасность компьютерных систем''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для группы 319/2.

* '''Когда''': по средам, 8:45
* '''Где''': аудитория 609

Основные темы, которые будут затронуты в курсе 2022/2023 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

== Материалы лекций ==
=== Веб ===

Лекция 1 (7 сентября 2022) [https://disk.yandex.ru/d/1vHZQsPiGMaiJg Вводная лекция]

Лекция 2 (14 сентября 2022) [https://drive.google.com/file/d/1souVS0TAelsM794HHl1Xhnt0fzB4E6Nt/view Введение в предметную область. Фреймворк для обсуждения недостатков]

Лекция 3 и 4 (21 и 28 сентября 2022) [https://drive.google.com/file/d/1vIVnsXi1kt_FYXEmYdu4gXAWNj4-N00U/view Веб-приложения: уязвимости к Injection-атакам. SQL injection, XSS]

Лекция 5, 6 и 7 (5, 12 и 19 октября 2022) [https://drive.google.com/file/d/1xcF5sw845O6_rIM8DAf3fGe-LtOwSb9i/ Валидация сложных форматов данных. FileUpload и SSRF. Устройство веб-сервера. Ретроспектива развития веб-технологий: от CGI к микросервисной архитектуре.]

Лекция 8 (26 октября 2022) [https://drive.google.com/file/d/1d65NYqRFX81eCklnkj9cTArjY8cc338b/ CSRF, CORS, Авторизация]

=== Реверс-инженерия и бинарная эксплуатация ===

Лекция 9 (2 ноября 2022) [https://disk.yandex.ru/i/4KVEx8CXHlylaA Теоретическая лекция про обратную разработку]

Лекция 10 (9 ноября 2022) [https://disk.yandex.ru/i/NkJf5m6VFiF3sg Memory management подсистемы *nix ОС]

Лекция 11 (16 ноября 2022) [https://disk.yandex.ru/i/Q6_xxZLFBcyBQw Линковка и загрузка исполняемых файлов]

Лекция 12 (23 ноября 2022) [https://disk.yandex.ru/i/yJGO-hX9LrPgIQ Устройство аллокатора dlmalloc и уязвимости в нём]

Лекция 13 (30 ноября 2022) [https://disk.yandex.ru/i/E5tYaTGTgXQ8-w Обзор работы современных ОС на уровне ядра, гипервизора и поддержки контейнеризации]

=== Мобильные приложения ===

Лекция 14 и 15 (7 и 14 декабря 2022) [https://drive.google.com/file/d/1F7VygPjqp28ytUlYkzSsn9UX049JqxFt/ Платформы для мобильных приложений, их специфика. Механизмы обеспечения защищенности на уровне мобильной платформы.]

=== Криптография и криптоанализ ===

* Лекция 1 (15 февраля 2023) [[Криптография/Основы криптографии|Основы криптографии]]
* Лекция 6 (22 марта 2023) [[https://disk.yandex.ru/i/U6qRCLpdaWb8hA| Приложения криптографии в блокчейне]]

Безопасность компьютерных систем (2022)

2023-03-23T11:01:14Z

Voronovm: /* Криптография и криптоанализ */

__NOTOC__
Курс '''Безопасность компьютерных систем''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для группы 319/2.

* '''Когда''': по средам, 8:45
* '''Где''': аудитория 609

Основные темы, которые будут затронуты в курсе 2022/2023 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

== Материалы лекций ==
=== Веб ===

Лекция 1 (7 сентября 2022) [https://disk.yandex.ru/d/1vHZQsPiGMaiJg Вводная лекция]

Лекция 2 (14 сентября 2022) [https://drive.google.com/file/d/1souVS0TAelsM794HHl1Xhnt0fzB4E6Nt/view Введение в предметную область. Фреймворк для обсуждения недостатков]

Лекция 3 и 4 (21 и 28 сентября 2022) [https://drive.google.com/file/d/1vIVnsXi1kt_FYXEmYdu4gXAWNj4-N00U/view Веб-приложения: уязвимости к Injection-атакам. SQL injection, XSS]

Лекция 5, 6 и 7 (5, 12 и 19 октября 2022) [https://drive.google.com/file/d/1xcF5sw845O6_rIM8DAf3fGe-LtOwSb9i/ Валидация сложных форматов данных. FileUpload и SSRF. Устройство веб-сервера. Ретроспектива развития веб-технологий: от CGI к микросервисной архитектуре.]

Лекция 8 (26 октября 2022) [https://drive.google.com/file/d/1d65NYqRFX81eCklnkj9cTArjY8cc338b/ CSRF, CORS, Авторизация]

=== Реверс-инженерия и бинарная эксплуатация ===

Лекция 9 (2 ноября 2022) [https://disk.yandex.ru/i/4KVEx8CXHlylaA Теоретическая лекция про обратную разработку]

Лекция 10 (9 ноября 2022) [https://disk.yandex.ru/i/NkJf5m6VFiF3sg Memory management подсистемы *nix ОС]

Лекция 11 (16 ноября 2022) [https://disk.yandex.ru/i/Q6_xxZLFBcyBQw Линковка и загрузка исполняемых файлов]

Лекция 12 (23 ноября 2022) [https://disk.yandex.ru/i/yJGO-hX9LrPgIQ Устройство аллокатора dlmalloc и уязвимости в нём]

Лекция 13 (30 ноября 2022) [https://disk.yandex.ru/i/E5tYaTGTgXQ8-w Обзор работы современных ОС на уровне ядра, гипервизора и поддержки контейнеризации]

=== Мобильные приложения ===

Лекция 14 и 15 (7 и 14 декабря 2022) [https://drive.google.com/file/d/1F7VygPjqp28ytUlYkzSsn9UX049JqxFt/ Платформы для мобильных приложений, их специфика. Механизмы обеспечения защищенности на уровне мобильной платформы.]

=== Криптография и криптоанализ ===

* Лекция 1 (15 февраля 2023) [[Криптография/Основы криптографии|Основы криптографии]]
* Лекция 6 (22 марта 2023) [[https://disk.yandex.ru/i/U6qRCLpdaWb8hA|Приложения криптографии в блокчейне]]

Безопасность компьютерных систем (2022)

2023-03-23T11:00:13Z

Voronovm: /* Криптография и криптоанализ */

Безопасность компьютерных систем (2022)

2022-12-14T09:26:47Z

Voronovm: /* Реверс-инженерия и бинарная эксплуатация */

Безопасность компьютерных систем (2021)

2021-12-03T17:31:57Z

Voronovm: /* Реверс-инженерия и бинарная эксплуатация */

Дополнительные главы практической безопасности (2021)

2021-05-11T12:48:31Z

Voronovm: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Гарантируется, что 10000 и больше будут давать оценку "отлично".

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды])
* '''27.04''' - Эскалация привилегий (LPE) в Windows
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство WebAssembly и некоторые аспекты его безопасности

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Дополнительные главы практической безопасности (2021)

2021-05-11T12:48:16Z

Voronovm: /* Занятия */

__NOTOC__
'''Дополнительные главы практической безопасности''' — математический спецкурс по выбору, продолжение курса [[Введение_в_практическую_безопасность_(2019)|Введение в практическую безопасность]] (читавшегося в 2019 году).

* '''Когда''': во вторник, 18:20, 16 февраля 2021
* '''Где''': аудитория 612, 2-й учебный корпус, планета Земля, Млечный Путь.

Курс рекомендуется студентам, интересующимся практической безопасностью. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом.

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные. Баллы за все обязательные задания вместе дадут '''10000'''. Гарантируется, что 10000 и больше будут давать оценку "отлично".

Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Занятия ==

* '''16.02''' - Веб-безопасность — XXE ([http://xxe.course.secsem.ru/ материалы], [[Дополнительные_главы_практической_безопасности_(2021)/XXE|про эксплуатацию OOB]])
* '''02.03''' - Веб-безопасность — небезопасная десериализация ([//course.secsem.ru/slides/unserialize_php.pdf слайды по небезопасной десериализации PHP])
* '''09.03''' - Веб-безопасность — template injection ([//course.secsem.ru/slides/2021-ssti-dgpb.pdf слайды])
* '''16.03''' - Ошибки неправильного использования криптографии в реальных приложениях ([//course.secsem.ru/slides/dont-roll-your-own-crypto.pdf слайды])
* '''23.03''' - Система типов в языке программирования Rust ([//course.secsem.ru/slides/2021-course-extended-lec5.pdf слайды])
* '''30.03''' - Фаззинг бинарных программ — основы ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:%D0%A4%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3_-_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D1%8B.zip слайды] [https://course.secsem.ru/wiki/%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B3%D0%BB%D0%B0%D0%B2%D1%8B_%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_(2021)/%D0%94%D0%BE%D0%BC%D0%B0%D1%88%D0%BD%D0%B5%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE_%D1%84%D0%B0%D0%B7%D0%B7%D0%B8%D0%BD%D0%B3%D1%83 домашка])
* '''06.04''' - Фаззинг бинарных программ — примеры использования в реальной жизни
* '''13.04''' - Фаззинг бинарных программ — возникающие проблемы и способы их решения на основе специализированных фаззеров и техник: kAFL, Redqueen, Grimoire, etc. ([https://course.secsem.ru/wiki/%D0%A4%D0%B0%D0%B9%D0%BB:Fuzzing3.zip слайды])
* '''20.04''' - Веб-безопасность — атаки на race condition в веб-приложениях ([//course.secsem.ru/slides/race-condition-in-webapps.pdf слайды])
* '''27.04''' - Эскалация привилегий (LPE) в Windows
* '''11.05''' - '''[дистанционно]''' Внутреннее устройство webassembly и некоторые аспекты его безопасности

== Задания ==

[[Дополнительные_главы_практической_безопасности_(2021)/Задания|Задания находятся на этой странице]]

== Примечания ==
<references/>

Безопасность компьютерных систем (2020)

2021-04-19T09:39:39Z

Voronovm: /* Криптография и криптоанализ */

__NOTOC__
Курс '''Безопасность компьютерных систем''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для группы 319/2.

* '''Когда''': по четвергам, 14:30
* '''Где''': аудитория 612

Основные темы, которые будут затронуты в курсе 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

== Материалы лекций ==
=== Веб ===

Лекция 1 (10 сентября 2020) [[Вводная лекция]]

Лекция 2 (17 сентября 2020) [https://drive.google.com/file/d/1_NSEFC_j7eodEc8NXzimc9o6DDbSWnV0/ Введение в предметную область. Фреймворк для обсуждения недостатков]

Лекция 3 (24 сентября 2020) [https://drive.google.com/file/d/16g79SdsV4g9G2myqvpPVbNc8DnGYr1tZ/ Веб-приложения: уязвимости к Injection-атакам]

Лекция 4 (1 октября 2020) [https://drive.google.com/file/d/1tlo4YXwpTHWC3gASOW6vjQDbiYYH7fjZ/ Ретроспектива развития веб-технологий: от CGI к микросервисной архитектуре. XSS]

Лекция 5 (8 октября 2020) [https://drive.google.com/file/d/1UDHxj2USVyfzHng8Cw0OkHJ1I-3vKJRS/ Веб-приложения: валидация сложных форматов данных, FileUpload и SSRF]

Лекция 6 (15 октября 2020) [https://drive.google.com/file/d/13pwYGKEmGcZVTF5bHR_cL9i3t2C22Bxy/ Веб-приложения: атаки на пользователей, аутентификация и управление сессиями]

Лекция 7 (22 октября 2020) [https://drive.google.com/file/d/13pwYGKEmGcZVTF5bHR_cL9i3t2C22Bxy/ Веб-приложения: CSRF, CORS, авторизация пользователей и микросервисов (c 10-го слайда)]

Лекция 8 (29 октября 2020) [https://drive.google.com/file/d/1MlcjbQI-oBqw5ylLYZhys3IW7wnCxY1u/ Веб-приложения: реальные истории дорогих недостатков]

=== Реверс-инженерия и бинарная эксплуатация ===

Лекция 9 (5 ноября 2020) [https://drive.google.com/file/d/15k473KterBrwNooV5qmqKp-RX8De3ZMs/ Бинарные уязвимости: введение, типы уязвимостей порчи памяти, переполнение стека, форматная строка, off by one. Case study: HeartBleed]

Лекция 10 (12 ноября 2020) [https://drive.google.com/file/d/1W6cnBw9IkGku92IE9WvLXcqUhzNJFr13/ Бинарные уязвимости: устройство аллокаторов, уязвимости класса heap overflow.]

Лекция 11 (19 ноября 2020) [https://yadi.sk/d/b-S1rNDG8TAj7g Бинарные уязвимости: уязвимости класса LPE, VM escape.]

Лекция 12 (26 ноября 2020) [https://yadi.sk/i/GAJozmNbTbMDTg Бинарные уязвимости: защита от эксплуатации уязвимостей (exploit mitigations).]

=== Мобильные приложения ===
Лекция 13 (3 декабря 2020) [https://drive.google.com/file/d/1aupgrFIBgzlNNeAQ5c4OXsaMgCLXOMR6/ Мобильные приложения: архитектура безопасности ОС для мобильных приложений.]

Лекция 14 (10 декабря 2020) [https://drive.google.com/file/d/1tYJutNa7HIzLp_6ns-gwq7XwFQyyUr74/ Защищенность мобильных приложений.]

Лекция 15 (17 декабря 2020) [https://yadi.sk/d/72XXNghPgtDlhA Защищённые системы.]

=== Криптография и криптоанализ ===

* Лекция 1 (8 февраля 2021) [http://khashaev.ru/assets/secsem/crypto-101/slides-2021.pdf Введение в криптографию]
* Лекция 2 (15 февраля 2021) [https://drive.google.com/file/d/1mNl-zPq4BLVR54Cpg0ox9H3U2xu-8Ryz/view?usp=sharing Криптография с открытым ключом]
* Лекция 3 (1 марта 2021) [https://drive.google.com/file/d/1e80ym5orI27lqHN4Og5stb5ddZ4IY2Sr/view?usp=sharing Симметричная криптография, DES, AES, режимы работы шифров]
* Лекция 4 (15 марта 2021) [https://drive.google.com/file/d/1VXxnA6sKqXjlQDrIqVxv9s2MsVEDL9i4/view?usp=sharing Приложения криптографии. PKI. Web of trust]
* Лекция 5 (22 марта 2021) [https://disk.yandex.ru/d/5PMRb2OBEPV7eA Приложения криптографии. Distributed ledger technologies]

=== Сетевая безопасность ===

Практикум на ЭВМ (2020)

2020-12-28T19:38:47Z

Voronovm: /* Реверс-инжиниринг и бинарная эксплуатация */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 12:50
* '''Где''': аудитория 612

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

=== Веб ===

Задания по теме Веб выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main__

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

* <s>[[Практикум_на_ЭВМ_(2020)/Бонусное_задание|Бонусное задание]]</s>

* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* http://seeker.shanton.ru:8081, дамп контейнера - https://yadi.sk/d/BV0UynXuOJmnBg (deadline - 23.12.2020 1:53)
* http://shop.tasks.prak.seclab.cs.msu.ru (deadline - 23.12.2020 1:53)
* http://tiny.dong.solutions:28080 (нужно использовать droog@tiny.dong.solutions) (deadline - 23.12.2020 1:53)

=== Реверс-инжиниринг и бинарная эксплуатация ===

Задания также выполнены в формате task-based CTF.

* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1ZImdhu0o6KHdCoz6O8n2CD2FWa2Wk0js/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1R55Q3Czxd4Wu_hVP1lAK2vSkJcxmh9wg/view?usp=sharing task 7] nc tasks.prak.seclab.cs.msu.ru 16967 (deadline 21.12.2020 0:00)

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

=== Мобильные приложения ===

Обход проверки root-доступа [[Root_check_bypass]]

== Материалы ==

=== Веб ===

Семинар 1 (17 сентября 2020) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (24 сентября 2020) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (1 октября 2020) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (8 октября 2020) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (15 октября 2020) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (22 октября 2020) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (29 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (5 ноября 2020) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 9 (12 ноября 2020) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (19 ноября 2020) [[Бинарные_уязвимости/Off-by-one]]

Семинар 11 (26 ноября 2020) [[Бинарные_уязвимости/House-of-force]]

Семинар 12 (3 декабря 2020) [[Бинарные_уязвимости/cve-2019-5782]]

=== Уязвимости мобильных приложений ===

Семинар 14 (10 декабря 2020) [[Уязвимости_мобильных_приложений/1]]

Семинар 15 (17 декабря 2020) [[Уязвимости_мобильных_приложений/2]]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

== Примечания ==
<references/>

Практикум на ЭВМ (2020)

2020-12-28T19:38:11Z

Voronovm: /* Реверс-инжиниринг и бинарная эксплуатация */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по четвергам, 12:50
* '''Где''': аудитория 612

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''. Критерии такие:
* '''2000''' и больше будут давать оценку "отлично".
* баллы >= '''1000''', но меньше '''2000''' будут давать оценку "хорошо"
* баллы >= '''500''', но меньше '''1000''' будут давать оценку "удовлетворительно"
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

=== Веб ===

Задания по теме Веб выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main__

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

* <s>[[Практикум_на_ЭВМ_(2020)/Бонусное_задание|Бонусное задание]]</s>

* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 01.12.2020 1:53)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 10.12.2020 1:53)
* http://seeker.shanton.ru:8081, дамп контейнера - https://yadi.sk/d/BV0UynXuOJmnBg (deadline - 23.12.2020 1:53)
* http://shop.tasks.prak.seclab.cs.msu.ru (deadline - 23.12.2020 1:53)
* http://tiny.dong.solutions:28080 (нужно использовать droog@tiny.dong.solutions) (deadline - 23.12.2020 1:53)

=== Реверс-инжиниринг и бинарная эксплуатация ===

Задания также выполнены в формате task-based CTF.

* [https://drive.google.com/file/d/1ENAVVDKlKIGgELZh6sCaP1wJ4SiOAYwz/view?usp=sharing task 5] nc tasks.prak.seclab.cs.msu.ru 16965 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1ZImdhu0o6KHdCoz6O8n2CD2FWa2Wk0js/view?usp=sharing task 6] nc tasks.prak.seclab.cs.msu.ru 16966 (deadline 21.12.2020 0:00)
* [https://drive.google.com/file/d/1R55Q3Czxd4Wu_hVP1lAK2vSkJcxmh9wg/view?usp=sharing task 7] nc tasks.prak.seclab.cs.msu.ru 16967 (deadline 21.12.2020 0:00)

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

=== Мобильные приложения ===

Обход проверки root-доступа [[Root_check_bypass]]

== Материалы ==

=== Веб ===

Семинар 1 (17 сентября 2020) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (24 сентября 2020) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (1 октября 2020) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (8 октября 2020) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (15 октября 2020) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (22 октября 2020) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (29 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (5 ноября 2020) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 9 (12 ноября 2020) [[Бинарные_уязвимости/Stack_overflow]]

Семинар 10 (19 ноября 2020) [[Бинарные_уязвимости/Off-by-one]]

Семинар 11 (26 ноября 2020) [[Бинарные_уязвимости/House-of-force]]

Семинар 11 (26 ноября 2020) [[Бинарные_уязвимости/cve-2019-5782]]

=== Уязвимости мобильных приложений ===

Семинар 14 (10 декабря 2020) [[Уязвимости_мобильных_приложений/1]]

Семинар 15 (17 декабря 2020) [[Уязвимости_мобильных_приложений/2]]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

== Примечания ==
<references/>

Безопасность компьютерных систем (2020)

2020-12-20T17:58:09Z

Voronovm: /* Мобильные приложения */

__NOTOC__
Курс '''Безопасность компьютерных систем''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для группы 319/2.

* '''Когда''': по четвергам, 14:30
* '''Где''': аудитория 612

Основные темы, которые будут затронуты в курсе 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

== Материалы лекций ==
=== Веб ===

Лекция 1 (10 сентября 2020) [[Вводная лекция]]

Лекция 2 (17 сентября 2020) [https://drive.google.com/file/d/1_NSEFC_j7eodEc8NXzimc9o6DDbSWnV0/ Введение в предметную область. Фреймворк для обсуждения недостатков]

Лекция 3 (24 сентября 2020) [https://drive.google.com/file/d/16g79SdsV4g9G2myqvpPVbNc8DnGYr1tZ/ Веб-приложения: уязвимости к Injection-атакам]

Лекция 4 (1 октября 2020) [https://drive.google.com/file/d/1tlo4YXwpTHWC3gASOW6vjQDbiYYH7fjZ/ Ретроспектива развития веб-технологий: от CGI к микросервисной архитектуре. XSS]

Лекция 5 (8 октября 2020) [https://drive.google.com/file/d/1UDHxj2USVyfzHng8Cw0OkHJ1I-3vKJRS/ Веб-приложения: валидация сложных форматов данных, FileUpload и SSRF]

Лекция 6 (15 октября 2020) [https://drive.google.com/file/d/13pwYGKEmGcZVTF5bHR_cL9i3t2C22Bxy/ Веб-приложения: атаки на пользователей, аутентификация и управление сессиями]

Лекция 7 (22 октября 2020) [https://drive.google.com/file/d/13pwYGKEmGcZVTF5bHR_cL9i3t2C22Bxy/ Веб-приложения: CSRF, CORS, авторизация пользователей и микросервисов (c 10-го слайда)]

Лекция 8 (29 октября 2020) [https://drive.google.com/file/d/1MlcjbQI-oBqw5ylLYZhys3IW7wnCxY1u/ Веб-приложения: реальные истории дорогих недостатков]

=== Реверс-инженерия и бинарная эксплуатация ===

Лекция 9 (5 ноября 2020) [https://drive.google.com/file/d/15k473KterBrwNooV5qmqKp-RX8De3ZMs/ Бинарные уязвимости: введение, типы уязвимостей порчи памяти, переполнение стека, форматная строка, off by one. Case study: HeartBleed]

Лекция 10 (12 ноября 2020) [https://drive.google.com/file/d/1W6cnBw9IkGku92IE9WvLXcqUhzNJFr13/ Бинарные уязвимости: устройство аллокаторов, уязвимости класса heap overflow.]

Лекция 11 (19 ноября 2020) [https://yadi.sk/d/b-S1rNDG8TAj7g Бинарные уязвимости: уязвимости класса LPE, VM escape.]

Лекция 12 (26 ноября 2020) [https://yadi.sk/i/GAJozmNbTbMDTg Бинарные уязвимости: защита от эксплуатации уязвимостей (exploit mitigations).]

=== Мобильные приложения ===
Лекция 13 (3 декабря 2020) [https://drive.google.com/file/d/1aupgrFIBgzlNNeAQ5c4OXsaMgCLXOMR6/ Мобильные приложения: архитектура безопасности ОС для мобильных приложений.]

Лекция 14 (10 декабря 2020) [https://drive.google.com/file/d/1tYJutNa7HIzLp_6ns-gwq7XwFQyyUr74/ Защищенность мобильных приложений.]

Лекция 15 (17 декабря 2020) [https://yadi.sk/d/72XXNghPgtDlhA Защищённые системы.]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

Безопасность компьютерных систем (2020)

2020-11-26T13:06:47Z

Voronovm: /* Реверс-инженерия и бинарная эксплуатация */

__NOTOC__
Курс '''Безопасность компьютерных систем''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для группы 319/2.

* '''Когда''': по четвергам, 14:30
* '''Где''': аудитория 612

Основные темы, которые будут затронуты в курсе 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

== Материалы лекций ==
=== Веб ===

Лекция 1 (10 сентября 2020) [[Вводная лекция]]

Лекция 2 (17 сентября 2020) [https://drive.google.com/file/d/1_NSEFC_j7eodEc8NXzimc9o6DDbSWnV0/ Введение в предметную область. Фреймворк для обсуждения недостатков]

Лекция 3 (24 сентября 2020) [https://drive.google.com/file/d/16g79SdsV4g9G2myqvpPVbNc8DnGYr1tZ/ Веб-приложения: уязвимости к Injection-атакам]

Лекция 4 (1 октября 2020) [https://drive.google.com/file/d/1tlo4YXwpTHWC3gASOW6vjQDbiYYH7fjZ/ Ретроспектива развития веб-технологий: от CGI к микросервисной архитектуре. XSS]

Лекция 5 (8 октября 2020) [https://drive.google.com/file/d/1UDHxj2USVyfzHng8Cw0OkHJ1I-3vKJRS/ Веб-приложения: валидация сложных форматов данных, FileUpload и SSRF]

Лекция 6 (15 октября 2020) [https://drive.google.com/file/d/13pwYGKEmGcZVTF5bHR_cL9i3t2C22Bxy/ Веб-приложения: атаки на пользователей, аутентификация и управление сессиями]

Лекция 7 (22 октября 2020) [https://drive.google.com/file/d/13pwYGKEmGcZVTF5bHR_cL9i3t2C22Bxy/ Веб-приложения: CSRF, CORS, авторизация пользователей и микросервисов (c 10-го слайда)]

Лекция 8 (29 октября 2020) [https://drive.google.com/file/d/1MlcjbQI-oBqw5ylLYZhys3IW7wnCxY1u/ Веб-приложения: реальные истории дорогих недостатков]

=== Реверс-инженерия и бинарная эксплуатация ===

Лекция 9 (5 ноября 2020) [https://drive.google.com/file/d/15k473KterBrwNooV5qmqKp-RX8De3ZMs/ Бинарные уязвимости: введение, типы уязвимостей порчи памяти, переполнение стека, форматная строка, off by one. Case study: HeartBleed]

Лекция 10 (12 ноября 2020) [https://drive.google.com/file/d/1W6cnBw9IkGku92IE9WvLXcqUhzNJFr13/ Бинарные уязвимости: устройство аллокаторов, уязвимости класса heap overflow.]

Лекция 11 (19 ноября 2020) [https://yadi.sk/d/b-S1rNDG8TAj7g Бинарные уязвимости: уязвимости класса LPE, VM escape.]

Лекция 12 (26 ноября 2020) [https://yadi.sk/i/GAJozmNbTbMDTg Бинарные уязвимости: защита от эксплуатации уязвимостей (exploit mitigations).]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

Безопасность компьютерных систем (2020)

2020-11-26T13:04:58Z

Voronovm: /* Реверс-инженерия и бинарная эксплуатация */

__NOTOC__
Курс '''Безопасность компьютерных систем''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для группы 319/2.

* '''Когда''': по четвергам, 14:30
* '''Где''': аудитория 612

Основные темы, которые будут затронуты в курсе 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

== Материалы лекций ==
=== Веб ===

Лекция 1 (10 сентября 2020) [[Вводная лекция]]

Лекция 2 (17 сентября 2020) [https://drive.google.com/file/d/1_NSEFC_j7eodEc8NXzimc9o6DDbSWnV0/ Введение в предметную область. Фреймворк для обсуждения недостатков]

Лекция 3 (24 сентября 2020) [https://drive.google.com/file/d/16g79SdsV4g9G2myqvpPVbNc8DnGYr1tZ/ Веб-приложения: уязвимости к Injection-атакам]

Лекция 4 (1 октября 2020) [https://drive.google.com/file/d/1tlo4YXwpTHWC3gASOW6vjQDbiYYH7fjZ/ Ретроспектива развития веб-технологий: от CGI к микросервисной архитектуре. XSS]

Лекция 5 (8 октября 2020) [https://drive.google.com/file/d/1UDHxj2USVyfzHng8Cw0OkHJ1I-3vKJRS/ Веб-приложения: валидация сложных форматов данных, FileUpload и SSRF]

Лекция 6 (15 октября 2020) [https://drive.google.com/file/d/13pwYGKEmGcZVTF5bHR_cL9i3t2C22Bxy/ Веб-приложения: атаки на пользователей, аутентификация и управление сессиями]

Лекция 7 (22 октября 2020) [https://drive.google.com/file/d/13pwYGKEmGcZVTF5bHR_cL9i3t2C22Bxy/ Веб-приложения: CSRF, CORS, авторизация пользователей и микросервисов (c 10-го слайда)]

Лекция 8 (29 октября 2020) [https://drive.google.com/file/d/1MlcjbQI-oBqw5ylLYZhys3IW7wnCxY1u/ Веб-приложения: реальные истории дорогих недостатков]

=== Реверс-инженерия и бинарная эксплуатация ===

Лекция 9 (5 ноября 2020) [https://drive.google.com/file/d/15k473KterBrwNooV5qmqKp-RX8De3ZMs/ Бинарные уязвимости: введение, типы уязвимостей порчи памяти, переполнение стека, форматная строка, off by one. Case study: HeartBleed]

Лекция 10 (12 ноября 2020) [https://drive.google.com/file/d/1W6cnBw9IkGku92IE9WvLXcqUhzNJFr13/ Бинарные уязвимости: устройство аллокаторов, уязвимости класса heap overflow.]

Лекция 11 (19 ноября 2020) [https://yadi.sk/i/GDvOXXL_JdGUog Бинарные уязвимости: уязвимости класса LPE, VM escape.]

Лекция 12 (26 ноября 2020) [https://yadi.sk/i/9g0Wp2gWAn5-UQ Бинарные уязвимости: защита от эксплуатации уязвимостей (exploit mitigations).]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

Безопасность компьютерных систем (2020)

2020-11-26T13:04:37Z

Voronovm: /* Реверс-инженерия и бинарная эксплуатация */

__NOTOC__
Курс '''Безопасность компьютерных систем''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для группы 319/2.

* '''Когда''': по четвергам, 14:30
* '''Где''': аудитория 612

Основные темы, которые будут затронуты в курсе 2020/2021 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

== Материалы лекций ==
=== Веб ===

Лекция 1 (10 сентября 2020) [[Вводная лекция]]

Лекция 2 (17 сентября 2020) [https://drive.google.com/file/d/1_NSEFC_j7eodEc8NXzimc9o6DDbSWnV0/ Введение в предметную область. Фреймворк для обсуждения недостатков]

Лекция 3 (24 сентября 2020) [https://drive.google.com/file/d/16g79SdsV4g9G2myqvpPVbNc8DnGYr1tZ/ Веб-приложения: уязвимости к Injection-атакам]

Лекция 4 (1 октября 2020) [https://drive.google.com/file/d/1tlo4YXwpTHWC3gASOW6vjQDbiYYH7fjZ/ Ретроспектива развития веб-технологий: от CGI к микросервисной архитектуре. XSS]

Лекция 5 (8 октября 2020) [https://drive.google.com/file/d/1UDHxj2USVyfzHng8Cw0OkHJ1I-3vKJRS/ Веб-приложения: валидация сложных форматов данных, FileUpload и SSRF]

Лекция 6 (15 октября 2020) [https://drive.google.com/file/d/13pwYGKEmGcZVTF5bHR_cL9i3t2C22Bxy/ Веб-приложения: атаки на пользователей, аутентификация и управление сессиями]

Лекция 7 (22 октября 2020) [https://drive.google.com/file/d/13pwYGKEmGcZVTF5bHR_cL9i3t2C22Bxy/ Веб-приложения: CSRF, CORS, авторизация пользователей и микросервисов (c 10-го слайда)]

Лекция 8 (29 октября 2020) [https://drive.google.com/file/d/1MlcjbQI-oBqw5ylLYZhys3IW7wnCxY1u/ Веб-приложения: реальные истории дорогих недостатков]

=== Реверс-инженерия и бинарная эксплуатация ===

Лекция 9 (5 ноября 2020) [https://drive.google.com/file/d/15k473KterBrwNooV5qmqKp-RX8De3ZMs/ Бинарные уязвимости: введение, типы уязвимостей порчи памяти, переполнение стека, форматная строка, off by one. Case study: HeartBleed]

Лекция 10 (12 ноября 2020) [https://drive.google.com/file/d/1W6cnBw9IkGku92IE9WvLXcqUhzNJFr13/ Бинарные уязвимости: устройство аллокаторов, уязвимости класса heap overflow.]

Лекция 10 (19 ноября 2020) [https://yadi.sk/i/GDvOXXL_JdGUog Бинарные уязвимости: уязвимости класса LPE, VM escape.]

Лекция 11 (26 ноября 2020) [https://yadi.sk/i/9g0Wp2gWAn5-UQ Бинарные уязвимости: защита от эксплуатации уязвимостей (exploit mitigations).]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

Безопасность компьютерных систем (2020)

2020-11-25T19:12:09Z

Voronovm: /* Реверс-инженерия и бинарная эксплуатация */

Безопасность компьютерных систем (2020)

2020-11-25T19:11:38Z

Voronovm: /* Реверс-инженерия и бинарная эксплуатация */

Безопасность компьютерных систем (2020)

2020-11-25T19:11:24Z

Voronovm: /* Реверс-инженерия и бинарная эксплуатация */