Wymagania projektowe

by Mateusz Pawełkiewicz published 2024/10/11 09:42:00 GMT+2, last modified 2025-10-06T10:31:02+02:00

Założenia ogólne

  • Cel: zaprojektować i zbudować prostą aplikację mobilną, a następnie zidentyfikować, udokumentować i naprawić wybrane podatności z OWASP Mobile Top 10.
  • Zespół: 2–3 osoby
  • Technologie: dowolne

Wymagania merytoryczne

  • Funkcjonalność minimalna (MVP)
    • Rejestracja/logowanie (email/hasło lub logowanie demo).
    • 2–3 ekrany CRUD (np. lista zadań/notatek/produktów).
    • Synchronizacja z backendem (1–2 endpointy).
    • Przechowywanie danych lokalnie (np. token, ustawienia).
  • Bezpieczeństwo — zakres prac
    • (a) Należy zaprezentować wersję podatną (kontrolowane demo – „jak można to zepsuć”),
    • (b) Zaimplementować poprawkę i udowodnić (logami/zrzutami), że luka jest usunięta.
    • Wybierz min. 5 ryzyk z OWASP Mobile Top 10 i:
  • Obowiązkowe dobre praktyki (po poprawkach)
    • M1/M9: tokeny i wrażliwe dane tylko w SecureStore/Keychain/Keystore; zero „hardcoded secrets”.
    • M3: autoryzacja zawsze po stronie backendu; brak zaufania do roli/ID z klienta; brak IDOR.
    • M4: walidacja wejścia, sanitizacja wyjścia.
    • M5: wyłącznie HTTPS; omówienie pinningu (opcjonalnie wdrożenie).
    • M10: korzystanie z uznanych algorytmów/kryptobibliotek; brak własnych „szyfrów”.

 

Kryteria oceny

  • Poprawność techniczna (40%) – działające MVP, sensowna architektura, kod bez rażących błędów.
  • Bezpieczeństwo (40%) – min. 5 ryzyk OWASP: reprodukcja podatności + skuteczne poprawki (dowody).
  • Raport i demo (20%) – klarowność opisu, zrzuty, procedury testów, wnioski.

 

Wymagane do oddania

  1. Repozytorium z kodem (klient + backend) + krótkie README (jak uruchomić).
  2. Raport PDF (15–25 stron)
    https://achilles.tu.kielce.pl/portal/Members/7637837b75044f12a9338bd380002931/wzor-sprawozdania