Викладач, викладачка курсу SEC333 "API Security"

KSE University оголошує конкурс на посаду Викладача/ки курсу «API Security» (SEC333) для студентів 3 курсу спеціальності Кібербезпека. Дисципліна входить доМайнора інженерії та фокусується на безпеці API в сучасних застосунках — від коректного проєктування інтерфейсів і моделей доступу до тестування, моніторингу та практичних технічних контролів.

Курс має практичний характер: розбір типових вразливостей, підходи OWASP (API Top 10), патерни secure-by-design, побудова безпечної архітектури API та валідація контролів через тестування. Студенти працюватимуть із реалістичними кейсами: від аналізу OpenAPI/Swagger-специфікацій до відтворення атак, написання рекомендацій та виправлення дефектів у дизайні й реалізації.

Загальна інформація про дисципліну

Кількість кредитів: 4 ECTS

Мова викладання: англійська

Орієнтовні дати проведення: 05.05.2025 — 27.07.2025

Формат занять: лекції + лабораторні/практичні вправи, очно на кампусі KSE

Орієнтовне навантаження: 1−2 заняття на тиждень + перевірка робіт та консультації (уточнюється під час погодження розкладу)

Для кого цей курс:

• для студентів, які хочуть розуміти як саме ламають API і як це попередити;

• для тих, хто планує кар'єру в AppSec, Pentest, DevSecOps;

• для майбутніх розробників/архітекторів, які хочуть будувати API «правильно» з першого разу.

Очікувані результати навчання (learning outcomes)

Після завершення курсу студенти зможуть:

• моделювати загрози для API (актори, активи, сценарії атак, пріоритизація ризиків);

• проєктувати безпечні схеми authN/authZ (JWT, OAuth2/OIDC, session vs token);

• знаходити та відтворювати типові уразливості (BOLA/IDOR, mass assignment, injection, SSRF, broken auth, security misconfig тощо);

• впроваджувати технічні контролі: rate limiting, logging/monitoring, input validation, secrets management;

• проводити тестування API та формувати технічні рекомендації для розробників (fix-guides, security requirements, acceptance criteria).

Орієнтовні модулі курсу:

• API threat landscape: типові атаки на API, «що саме йде не так» у реальних інцидентах

• REST/HTTP Fundamentals for Security: архітектурні принципи REST, семантика HTTP-методів та статус-кодів, заголовки безпеки, політики CORS, безпечне кешування та обробка content types

• Authentication & Authorization: управління сесіями та токенами, безпечна реалізація JWT (підпис, шифрування, типові помилки), життєвий цикл токенів (access/refresh, ротація, відкликання), моделі контролю доступу (RBAC, ABAC, PBAC, etc).

• Secure design & input handling: валідація, нормалізація, schema validation, mass assignment

• Business logic security: зловживання логікою, race conditions, quota abuse

• Rate limiting & anti-abuse: throttling, quotas, replay, brute force, bot patterns

• Logging/Monitoring: що логувати, кореляція подій, індикатори атак, API telemetry

• Testing: методологія тестування API, чек-листи, OWASP-підхід, мінімальний security test plan (опційно) Secure SDLC для API: security requirements, code review hints, CI checks, secrets scanning

Вашими обов’язками будуть:

• підготовка силабусу, плану курсу та набору практичних кейсів/лабораторних;

• проведення занять;

• розробка завдань поточного та підсумкового контролю, перевірка робіт;

• робота з Moodle, виставлення оцінок, надання фідбеку;

• консультації студентів та office hours;

• дотримання принципів академічної доброчесності.

Інструменти та середовище (буде плюсом)

• Postman/Insomnia, Burp Suite, Swagger/OpenAPI, API gateway / reverse proxy;

• практичне розуміння CI/CD або security checks у пайплайнах;

• досвід роботи з логами/метриками (хоча б базово) та підходами до моніторингу.

Вимоги до кандидатів:

• 3+ роки досвіду в AppSec / API Security / Backend Security / Pentest (API);

• вільна англійська (викладання, матеріали, комунікація);

• знання REST/HTTP, OAuth2/OIDC/JWT, моделей доступу (RBAC/ABAC), secure-by-design;

• буде перевагою: threat modeling, secure SDLC, досвід у продукті/команді розробки, викладання/менторство.

Ми пропонуємо:

• конкурентну оплату;

• підтримку освітньої команди й адміністрації;

• сильну академічну і професійну спільноту;

• комфортні умови на кампусі.

Ми існуємо, щоб створювати інтелектуальну основу для сильної та інноваційної економіки України. Приєднуйтесь до команди, яка формує економічне майбутнє України!