Wierk - Wydział Informatyki, Elektroniczne Ramy Kwalifikacji

Karta Przedmiotu

Politechnika Białostocka									Wydział Informatyki
Kierunek studiów		Cyberbezpieczeństwo							Poziom i forma studiów				pierwszego stopnia stacjonarne
Grupa przedmiotów / specjalność									Profil kształcenia				ogólnoakademicki
Nazwa przedmiotu		Testy penetracyjne							Kod przedmiotu				CYB1TPE
Nazwa przedmiotu		Testy penetracyjne							Rodzaj zajęć				obowiązkowy
Formy zajęć i liczba godzin		W	Ć	L	P	Ps	T	S	Semestr				4
Formy zajęć i liczba godzin		20				30			Punkty ECTS				4
Program obowiązuje od											2026/2027
Przedmioty wprowadzające		Administracja systemami Linux II (CYB1LIN2), Administracja systemami Windows II (CYB1WIN2), Bezpieczeństwo sieci komputerowych (CYB1BSK), Metody i narzędzia AI (CYB1MAI), Wirtualizacja i konteneryzacja (CYB1WIK),
Cele przedmiotu		Przekazanie usystematyzowanej wiedzy z zakresu metodologii testów penetracyjnych, etycznych i prawnych ram ich prowadzenia oraz stosowanych technik i narzędzi ofensywnych. Rozwinięcie praktycznych umiejętności planowania, realizacji i dokumentowania testów bezpieczeństwa zgodnie z profesjonalnymi standardami branżowymi. Kształtowanie odpowiedzialnej postawy wobec aktywnego testowania bezpieczeństwa systemów, z naciskiem na etykę zawodową i legalność działań. Odniesienia do frameworka edukacyjnego mikrokompetencji SFIA: Testy penetracyjne PENT – poziom 3 Bezpieczeństwo informacji ISCO – poziom 3 Ofensywne operacje cybernetyczne OCOP – poziom 2
Ramowe treści programowe		Metodologia i standardy testów penetracyjnych – etapy, zakres, uwarunkowania prawne i etyczne prowadzenia testów. Rozpoznanie pasywne i aktywne środowiska docelowego. Analiza podatności systemów, sieci i aplikacji webowych. Techniki eksploatacji podatności i utrzymania dostępu w kontrolowanych warunkach testowych. Ocena i priorytetyzacja podatności oraz dokumentowanie wyników testów i formułowanie rekomendacji naprawczych.
Inne informacje o przedmiocie		przedmiot ma związek z prowadzoną na Uczelni działalnością naukową
Inne informacje o przedmiocie		przedmiot kształtuje umiejętności praktyczne
Wyliczenie:		Nakład pracy studenta związany z:											Godzin ogółem	W tym kontaktowych	W tym praktycznych
		udziałem w wykładach											20	20
		udziałem w innych formach zajęć											30	30	30
		realizacją zadań praktycznych											35		35
		przygotowaniem do zaliczenia wykładu											15
										Razem godzin:			100	50	65
										Razem punktów ECTS:			4	2.0	2.6
Zakładane kierunkowe efekty uczenia się													Wiedza	Umiejętności	Kompetencje społeczne
													CYB1_W07	CYB1_U06	H1_K01
													CYB1_W08	CYB1_U07	CYB1_K02
													CYB1_W12	CYB1_U14	CYB1_K03
													CYB1_W13	CYB1_U16
													CYB1_W15	CYB1_U19
Cele i treści ramowe sformułował(a)			dr inż. Andrzej Chmielewski										Data:		08/04/2026
Realizacja w roku akademickim								2027/2028
Treści programowe
		Wykład
		1.	Wprowadzenie do testów penetracyjnych - definicje, cele, rodzaje (black/white/gray box), przegląd metodyk (m.in. OSSTMM, PTES, OWASP), ramy prawne testów penetracyjnych oraz zagadnienia etyczne
		2.	Rekonesans pasywny i aktywny - techniki zbierania informacji (OSINT), footprinting, analiza domen, skanowanie portów, identyfikacja usług
		3.	Skanowanie podatności - narzędzia automatyczne, interpretacja wyników, fałszywie pozytywne wyniki, priorytetyzacja podatności
		4.	Modelowanie zagrożeń - identyfikacja potencjalnych wektorów ataku, budowanie ścieżek ataku (attack paths), analiza ryzyka
		5.	Testy penetracyjne aplikacji webowych - metodyki OWASP, najczęstsze podatności (XSS, CSRF, SQL Injection, broken authentication), narzędzia, testy penetracyjne infrastruktury - ataki na sieci, systemy operacyjne, podnoszenie uprawnień, pivoting, przemieszczanie się w sieci
		6.	Inżynieria społeczna i ataki socjotechniczne - techniki manipulacji, phishing, pretexting, bezpieczeństwo personelu
		7.	Eksploitacja podatności - wykorzystywanie zidentyfikowanych słabości, Metasploit Framework, budowanie PoC (Proof of Concept)
		8.	Post-exploitation - działania po uzyskaniu dostępu, utrzymanie dostępu, zacieranie śladów, analiza forensic
		9.	Dokumentacja i raportowanie - struktura profesjonalnego raportu, klasyfikacja podatności, formułowanie rekomendacji, remediation i zarządzanie podatnościami - strategie naprawy, weryfikacja poprawek, zarządzanie cyklem życia podatności
		10.	Zaliczenie wykładu
		Pracownia specjalistyczna
		1.	Konfiguracja środowiska laboratoryjnego - wirtualne maszyny, narzędzia testów penetracyjnych, platformy ćwiczeniowe (np. OWASP WebGoat, DVWA)
		2.	Warsztaty z narzędzi rozpoznania - praktyczne wykorzystanie Nmap, Shodan, theHarvester, Maltego do zbierania informacji o celu
		3.	Skanowanie podatności z wykorzystaniem Nessus, OpenVAS i innych skanerów - konfiguracja, uruchamianie skanów, analiza wyników
		4.	Praktyczne ćwiczenia z testów penetracyjnych aplikacji webowych - identyfikacja i eksploatacja OWASP Top 10
		5.	Ćwiczenia z testów infrastruktury - exploit lokalne i zdalne, eskalacja uprawnień, przemieszczanie się w sieci
		6.	Symulowane kampanie phishingowe - przygotowanie, przeprowadzenie i analiza wyników ataków socjotechnicznych
		7.	Bezpieczeństwo aplikacji mobilnych - testy aplikacji Android i iOS, analiza zabezpieczeń
		8.	Dokumentacja przeprowadzonych działań - przygotowanie profesjonalnego raportu z testów penetracyjnych, kategoryzacja znalezisk
		9.	Projekt zespołowy
		10.	Projekt zespołowy
		11.	Projekt zespołowy
		12.	Projekt zespołowy
		13.	Projekt zespołowy
		14.	Prezentacje projektów zespołowych, omówienie znalezionych podatności, analiza skuteczności zastosowanych metod
		15.	Prezentacje projektów zespołowych, omówienie znalezionych podatności, analiza skuteczności zastosowanych metod, wystawianie ocen
Metody dydaktyczne (realizacja stacjonarna)
		W	wykład problemowy; wykład z prezentacją multimedialną
		Ps	programowanie z użyciem komputera
Metody dydaktyczne (realizacja zdalna)
		W	wykład z prezentacją multimedialną
		-
Forma zaliczenia
		W	zaliczenie pisemne
		Ps	ocena sprawozdań z wykonanych zadań oraz ocena projektu
Warunki zaliczenia
		W	Uzyskanie min. 30% punktów z każdego efektu uczenia się z zakresu wiedzy, a po spełnieniu tego warunku ostateczna ocena wynika z sumy uzyskanych punktów. Kryteria oceny: [ 0 – 50]% punktów – 2.0 (50 – 60]% punktów – 3.0 (60 – 70]% punktów – 3.5 (70 – 80]% punktów – 4.0 (80 – 90]% punktów – 4.5 (90 – 100]% punktów – 5.0
		Ps	Minimalne wymagania dotyczące poszczególnych efektów uczenia: E4 - przeprowadzenie podstawowych operacji w każdym etapie testów penetracyjnych w ramach realizowanego projektu E5 - wykorzystanie co najmniej 3 narzędzi wspomagających przeprowadzanie testów penetracyjnych E6 - uwzględnienie w raporcie z projektu dokumentacji z wykonanych czynności oraz przedstawienie podstawowych zaleceń dotyczących zabezpieczeń E7 i E8 - realizacja projektu na na poziomie min. 50% punktów Po spełnieniu powyższych warunków oraz zsumowaniu uzyskanych punktów: [ 0 – 50]% punktów – 2.0 (50 – 60]% punktów – 3.0 (60 – 70]% punktów – 3.5 (70 – 80]% punktów – 4.0 (80 – 90]% punktów – 4.5 (90 – 100]% punktów – 5.0
Symbol efektu		Zakładane efekty uczenia się											Odniesienie do efektów uczenia się zdefiniowanych dla kierunku studiów
Symbol efektu		Zakładane efekty uczenia się											Wiedza	Umiejętności	Kompetencje społeczne
	Wiedza: student zna i rozumie
E1		metodologie i standardy testów penetracyjnych oraz prawne i etyczne ramy ich prowadzenia											CYB1_W12 CYB1_W13
E2		techniki rozpoznania, analizy podatności, eksploatacji i post-eksploatacji stosowane w testach ofensywnych											CYB1_W07 CYB1_W08
E3		metody dokumentowania wyników testów, klasyfikacji ryzyka wg CVSS i formułowania rekomendacji naprawczych											CYB1_W12 CYB1_W15
	Umiejętności: student potrafi
E4		zaplanować i przeprowadzić test penetracyjny zgodnie z przyjętą metodyką i zakresem zlecenia												CYB1_U06 CYB1_U07 CYB1_U14
E5		stosować narzędzia ofensywne do identyfikacji i eksploatacji podatności w kontrolowanym środowisku laboratoryjnym												CYB1_U06
E6		sporządzić profesjonalny raport z testu penetracyjnego zawierający klasyfikację ryzyka, opis podatności i zalecenia naprawcze												CYB1_U16 CYB1_U19
	Kompetencje społeczne: student jest gotów do
E7		działania zgodnie z zasadami etyki zawodowej pentestera, z poszanowaniem granic zlecenia, poufności danych i odpowiedzialnego ujawniania podatności													CYB1_K02 H1_K01
E8		podejmowania decyzji w dynamicznych sytuacjach testowych, w tym pod presją czasu													CYB1_K03
Symbol efektu		Sposób weryfikacji efektu uczenia się										Forma zajęć na której zachodzi weryfikacja
E1		zaliczenie pisemne										W
E2		zaliczenie pisemne										W
E3		zaliczenie pisemne										W
E4		ocena sprawozdań z wykonanych zadań, ocena projektu										Ps
E5		ocena sprawozdań z wykonanych zadań, ocena projektu										Ps
E6		ocena sprawozdań z wykonanych zadań, ocena projektu										Ps
E7		ocena sprawozdań z wykonanych zadań, ocena projektu										Ps
E8		ocena sprawozdań z wykonanych zadań, ocena projektu										Ps
Literatura podstawowa
		1.	Kali Linux documentation - https://www.kali.org/docs
		2.	Podręcznik systemowy GNU Linux
		3.	J. Arcuri, Warsztat Hakera: Testy penetracyjne i inne techniki wykrywania podatności, Helion, 2022
		4.	R. Messier, Kali Linux: Testy bezpieczeństwa, testy penetracyjne i etyczne hakowanie, Helion, 2019
		5.	D Isakov, Testy penetracyjne środowiska Active Directory i infrastruktury opartej na systemie Windows, Helion, 2025
Literatura uzupełniająca
		1.	K. Mitnick, Sztuka podstępu: łamałem ludzi, nie hasła, Helion, 2016
		2.	D. Kennedy, Metasploit, NO STARCH, 2023
		3.	Dokumentacja Nmap, https://nmap.org/
		4.	Shodan: https://www.shodan.io/
Koordynator przedmiotu:		dr inż. Andrzej Chmielewski											Data:		08/04/2026