Kliens alkalmazások automatizált tesztelése

Topics: PKI, Software Security

A Microsec e-Szignó aláírás létrehozó- és kezelő alkalmazás tanúsítással rendelkező, minősített aláírások létrehozására alkalmas szoftver. A szoftver tervezése és implementálása a biztonsági kritériumok különös figyelembe vételével történt. A termék a Common Criteria módszertannak megfelelően, Védelmi profil és Biztonsági előirányzat alapján készült, tanúsítását egy magyar tanúsító szervezet végezte. Az alkalmazást Magyarországon széles körben használják. A gondos tervezésnek és implementálásnak köszönhetően a szoftver hibás működésének kockázata minimális, de még így is előfordulhat, hogy speciális környezeti együttállások esetében a szoftver nem várt működést mutat. A hallgató feladata az e-Szignó SDK, mint „black box” sebezhetőség vizsgálata automatizált eszközökkel (pl. fuzzerekkel). A feladat végzése során a hallgató megismerkedhet a Microsec e-Szignó SDK-val illetve az általa létrehozott aláírás formátumokkal és az aláírás folyamatával. A témához egy, az elektronikus aláírással kapcsolatos szolgáltatások terén Magyarországon piacvezető cég biztosít konzultációs lehetőséget.

Maximum number of students: 1 student

Contact: Levente Buttyán (CrySyS Lab), External supervisor (Microsec)

Biztonságos programozási feladatok készítése az Avatao rendszerben

Topics: Software Security, Security Education

A legtöbb szoftverfejlesztő tanulmányai során nem vagy felületesen találkozik a szoftverbiztonság témájával (Avatao, a CrySyS labor spinoff vállalkozása, egy olyan platformot épít, ahol a szoftverfejlesztők és más informatikusok gyakorlati példákon keresztül tanulhatják meg a biztonságos rendszerek építését. A feladatok létrehozására tartalomfejlesztői csapatokat hoztunk létre vezető szakértők mentorálásával. A diák feladata, hogy csatlakozzon egy ilyen csapathoz és profi egyetemi valamint céges mentorokkal együttműködve gyakorló biztonsági feladatokat hozzon létre az alábbi témakörökben:
- Java webes alkalmazások (Java-SE/Java-EE) tervezése (design), programozása (coding), tesztelése (testing) és működtetése (DevOps) (3 hallgató)
- Webes és desktop alkalmazások fejlesztése C# nyelven (3 hallgató, együttműködési lehetőség a Tresorit és az evosoft cégekkel)
- OWASP top 10-re épülő feladatsor kiegészítése defenzív, kódolási és tesztelési feladatokkal (2 hallgató)
- webes alkalmazások készítése (coding) és üzemeltetése (DevOps) Python nyelven illetve Python framework-ök (pl. django) biztonsági funkcióinak használata (1 hallgató)
- C/C++ nyelv biztonsági kihívásainak szemléltetése, kiemelt fókuszban a beágyazott rendszerek biztonságával (3 hallgató)
- data discovery/data science biztonsági kihívásai, elsősorban python és más scriptnyelvek segítségével, a GDPR követelményeire való felkészülés segítése (3 hallgató)
- DevOps biztonsági kihívásainak szemléltetése (aka. DevSecOps), modern alkalmazások biztonságos üzemeltetése módszereinek bemutatása, elsősorban scriptnyelvek és üzemeltetési technológiák segítségével (Docker, AWS, lambdák, stb.) (2 hallgató).

Maximum number of students: many students

Contact: Levente Buttyán (CrySyS Lab), Mark Felegyhazi (Avatao)