Дисципліна входить доМайнора інженерії та фокусується на безпеці API в сучасних застосунках — від коректного проєктування інтерфейсів і моделей доступу до тестування, моніторингу та практичних технічних контролів.

Курс має практичний характер: розбір типових вразливостей, підходи OWASP (API Top 10), патерни secure-by-design, побудова безпечної архітектури API та валідація контролів через тестування. Студенти працюватимуть із реалістичними кейсами: від аналізу OpenAPI/Swagger-специфікацій до відтворення атак, написання рекомендацій та виправлення дефектів у дизайні й реалізації.

Загальна інформація про дисципліну

Кількість кредитів: 4 ECTS

Мова викладання: англійська

Орієнтовні дати проведення: 05.05.2025 — 27.07.2025

Формат занять: лекції + лабораторні/практичні вправи, очно на кампусі KSE

Орієнтовне навантаження: 1−2 заняття на тиждень + перевірка робіт та консультації (уточнюється під час погодження розкладу)

Для кого цей курс:

• для студентів, які хочуть розуміти як саме ламають API і як це попередити;
• для тих, хто планує кар'єру в AppSec, Pentest, DevSecOps;
• для майбутніх розробників/архітекторів, які хочуть будувати API «правильно» з першого разу.

Очікувані результати навчання (learning outcomes)

Після завершення курсу студенти зможуть:

• моделювати загрози для API (актори, активи, сценарії атак, пріоритизація ризиків);
• проєктувати безпечні схеми authN/authZ (JWT, OAuth2/OIDC, session vs token);
• знаходити та відтворювати типові уразливості (BOLA/IDOR, mass assignment, injection, SSRF, broken auth, security misconfig тощо);
• впроваджувати технічні контролі: rate limiting, logging/monitoring, input validation, secrets management;
• проводити тестування API та формувати технічні рекомендації для розробників (fix-guides, security requirements, acceptance criteria).

Орієнтовні модулі курсу:

• API threat landscape: типові атаки на API, «що саме йде не так» у реальних інцидентах
• REST/HTTP Fundamentals for Security: архітектурні принципи REST, семантика HTTP-методів та статус-кодів, заголовки безпеки, політики CORS, безпечне кешування та обробка content types
• Authentication & Authorization: управління сесіями та токенами, безпечна реалізація JWT (підпис, шифрування, типові помилки), життєвий цикл токенів (access/refresh, ротація, відкликання), моделі контролю доступу (RBAC, ABAC, PBAC, etc).
• Secure design & input handling: валідація, нормалізація, schema validation, mass assignment
• Business logic security: зловживання логікою, race conditions, quota abuse
• Rate limiting & anti-abuse: throttling, quotas, replay, brute force, bot patterns
• Logging/Monitoring: що логувати, кореляція подій, індикатори атак, API telemetry
• Testing: методологія тестування API, чек-листи, OWASP-підхід, мінімальний security test plan (опційно) Secure SDLC для API: security requirements, code review hints, CI checks, secrets scanning

Вашими обов’язками будуть:

• підготовка силабусу, плану курсу та набору практичних кейсів/лабораторних;
• проведення занять;
• розробка завдань поточного та підсумкового контролю, перевірка робіт;
• робота з Moodle, виставлення оцінок, надання фідбеку;
• консультації студентів та office hours;
• дотримання принципів академічної доброчесності.

Інструменти та середовище (буде плюсом)

• Postman/Insomnia, Burp Suite, Swagger/OpenAPI, API gateway / reverse proxy;
• практичне розуміння CI/CD або security checks у пайплайнах;
• досвід роботи з логами/метриками (хоча б базово) та підходами до моніторингу.

Вимоги до кандидатів:

• 3+ роки досвіду в AppSec / API Security / Backend Security / Pentest (API);
• вільна англійська (викладання, матеріали, комунікація);
• знання REST/HTTP, OAuth2/OIDC/JWT, моделей доступу (RBAC/ABAC), secure-by-design;
• буде перевагою: threat modeling, secure SDLC, досвід у продукті/команді розробки, викладання/менторство.

Ми пропонуємо:

• конкурентну оплату;
• підтримку освітньої команди й адміністрації;
• сильну академічну і професійну спільноту;
• комфортні умови на кампусі.

Ми існуємо, щоб створювати інтелектуальну основу для сильної та інноваційної економіки України. Приєднуйтесь до команди, яка формує економічне майбутнє України!