Měli jsme čest přednášet studentům na Slovenské technické univerzitě v Bratislavě (STU), Fakultě elektrotechniky a informatiky (FEI). Hostováno prof. Katarínou Žákovou, cílem cvičení bylo pokrýt klíčové téma pro každého budoucího developera i bezpečnostního profesionála: Zranitelnosti v PHP webových aplikacích a metodika OWASP.
Praktický přístup k webové bezpečnosti
Bezpečnost se nejlépe učí praxí. Namísto teorie jsme se ponořili do reálných útoků a obran. Cílem bylo pokrýt:
1. Porozumění běžným webovým zranitelnostem
Začali jsme průzkumem nejčastějších bezpečnostních rizik v PHP aplikacích. Od SQL Injection po Cross-Site Scripting (XSS) jsme rozebrali, jak tyto zranitelnosti vznikají, proč přetrvávají a jak je útočníci zneužívají.
2. Bezpečný vs. zranitelný PHP kód
Sama teorie nestačí – praktické ukázky kódu jasně ukázaly rozdíl mezi zranitelnými a bezpečnými implementacemi. Analyzovali jsme zranitelný PHP kód, vysvětlili příčiny a poté prošli bezpečné implementace, které rizika eliminují.
3. Živá demonstrace hackování
Jedním z highlightů byla ukázka SQL Injection útoku. Vidět útok naživo studentům objasnilo, jak jediná drobná chyba v kódu může vést ke kritickému narušení bezpečnosti.
Klíčové poznatky
Bezpečnost začíná v kódu
Bezpečnost aplikací není jen o best practices – je to o pochopení způsobu uvažování útočníků. Aktivní identifikací a odstraňováním rizik během vývoje lze předejít zranitelnostem dřív, než dojde ke zneužití.
Obrana je stejně důležitá jako útok
Útočné techniky nám pomáhají pochopit chyby, hlavním cílem je však stavět odolné aplikace. Bezpečnost má být součástí SDLC, nikoli poznámka pod čarou.
Kybernetická bezpečnost se neustále vyvíjí a vzdělávání je klíčem k tomu, abychom byli napřed. Pojďme společně tvořit budoucnost, v níž je bezpečnost přirozenou součástí práce každého vývojáře!