Войти в мой кабинет
Регистрация
ГОТОВЫЕ РАБОТЫ / ДИПЛОМНАЯ РАБОТА, ИНФОРМАТИКА

Методология комплексной оценки безопасности WEB-приложения

inna_lina92 350 руб. КУПИТЬ ЭТУ РАБОТУ
Страниц: 75 Заказ написания работы может стоить дешевле
Оригинальность: неизвестно После покупки вы можете повысить уникальность этой работы до 80-100% с помощью сервиса
Размещено: 04.04.2019
В текущей работе были рассмотрены и затронуты популярные уязвимость веб-приложений, были рассмотрены разные варианты их определения, рассмотрены различные сканеры детектирования уязвимостей. Была разработана программа для нахождения уязвимостей, протестирована на разных ресурсах.
Введение

В настоящее время одними из наиболее небезопасных систем являются Web-приложения. Важной задачей для хранения конфиденциальных данных программного обеспечения становиться проведение аудита его безопасности. Из-за уязвимостей, которые могут содержать веб-приложения происходит утечка важной информации, что ведет за собой кражу миллионов номеров кредитных карт, ежегодной потери миллиардов долларов США. Тестирование безопасности - это такое тестирование, которое предназначено для того, чтобы убедится, что конфиденциальные данные останутся конфиденциальными, а пользователь системы сможет сделать только то, что ему положено по правам доступа. Оценка защищенности Web- приложений может выполняться путем анализа исходных кодов, а также с использованием методики "черного ящика". Первый способ наиболее эффективен, но и более трудоемок. Метод "черного ящика" заключается в проведении работ по оценке защищенности информационной системы без предварительного получения какой-либо информации о ней со стороны владельца. Метод "белого ящика" заключается в том, что для оценки защищенности информационной системы используются все необходимые данные о ней, включая исходный код приложений. Быстрое развитие сети Интернет несет за собой как положительные, так и отрицательные моменты. С каждым годом все больше становиться людей и способов, которые хотят осуществить кражу информации и прочие подобные действия, которые введут за собой нарушение работы ресурса. В этой связи особенно актуальным становиться вопрос об устойчивости сайтов к различным рода атакам. Эта проблема приводит к появлению множества проектов, призванных помочь разработчикам веб-приложений повысить надёжность своих продуктов. По сути, тестирование веб-приложения на поиск в нём уязвимостей является хорошей предупредительной мерой, так как позволяет определить недостатки приложения ещё на этапе разработки и закрытого тестирования, тем самым, выдав на выходе надёжный продукт. Основной целью данной работы является изучение средств безопасности web-приложений, а также определение наиболее распространенных уязвимостей и разработка предложений по проведению аудита безопасности веб-приложений.
Содержание

1. Введение 6 Глава 1. Обзор существуюих уязвимостей в WEB-приложениях и методы их обнаружения …………… 7 1.1. OWASP TOP-10 2017 7 1.1.1. Внедрение кода 7 1.1.2. Некорректная аутентификация и управление сессией 8 1.1.3. Утечка чувствительных данных 8 1.1.4. Внедрение внешних XML- сущностей (XXE) 9 1.1.5. Нарушение контроля доступа 9 1.1.6. Небезопасная конфигурация 10 1.1.7. Межсайтовый скриптинг 10 1.1.8. Небезопасная десериализация 10 1.1.9. Использование компонентов с известными уязвимостями 10 1.1.10. Отсутствие журналирования и мониторинга 11 1.2. Ручное обнаружение уязвимостей 12 1.2.1. Принцип «белого ящика». 12 1.2.1.1. Аудит исходного кода. 12 1.2.1.2. Инструменты автоматизации. 13 1.2.1.3. Оценка метода. 14 1.2.2. Принцип «черного ящика». 14 1.2.2.1. Ручное тестирование. 15 1.2.3. Принцип «серого ящика». 15 1.2.3.1. Двоичный анализ. 15 1.2.3.2. Автоматизированный двоичный анализ. 17 1.2.3.3. Оценка метода. 17 1.2.4. Поиск уязвимостей web-приложения с помощью поисковых систем 17 1.2.4.1. Поиск файлов 17 1.2.4.2. Поиск ресурсов с предсказуемым расположением и недостаточной аутентификацией …………… 19 1.2.4.3. Поиск уязвимостей методом получения идентифицирующей информации о веб-приложении 20 1.3. Автоматический поиск уязвимостей 22 1.3.1. Что такое сканеры защищенности веб-сайтов 23 1.3.2. Принцип работы сканеров защищенности веб-сайтов 23 1.3.3. Категории сканеров защищенности веб-сайтов 23 1.3.4. Сетевые сканеры 24 1.3.4.1. Nmap …………….. 24 1.3.4.2. IP Tools . 24 1.3.5. Сканеры поиска уязвимостей в веб-скриптах 24 1.3.5.1. Nikto …………… 24 1.3.5.2. Skipfish . 25 1.3.5.3. Wapiti ………….. 25 1.3.6. Средства поиска эксплойтов 26 1.3.6.1. Metasploit Framework 26 1.3.6.2. Nessus……………… 26 1.3.7. Средства автоматизации инъекций 26 1.3.7.1. SQLMap …………………………………………………………………..26 1.3.7.2. bsqlbf-v2 27 1.3.8. Дебаггеры 27 1.3.8.1. Burp Suite 27 1.3.8.2. Fiddler…………….. 27 1.3.9. Универсальные сканеры 27 1.3.9.1. Web Application Attack and Audit Framework (w3af) 27 1.3.9.2. N-Stalker Web Application Security Scanner X Free Edition 28 Глава 2. Разработка программного обеспечения для поиска уязвимостей 29 2.1. Алгоритмы нахождения уязвимостей 29 2.1.1. Алгоритм для инъекций SQL 30 2.1.2. Алгоритм для XSS 31 2.2. Создание программы 32 2.2.1. Модули программы 33 2.2.1.1. Модуль проверки уязвимости межсайтового скриптинга (XSS) 33 2.2.1.2. Модуль проверки на SQL-инъекции 34 2.2.1.3. Модуль проверки на CRLF инъекцию 37 2.2.1.4. Модуль на проверку SSRF-атак 39 2.2.2. Результ
Список литературы

1. Информационная безопасность: проблемы [электронный ресурс]: научно-популярный, открытый доступ. URL: http://ieu.cfuv.ru/viewfile/2372/Сборник трудов ІІI международной конференции. Проблемы-инф. безоп. -2016.pdf (дата обращения: 15.03.2018) 2. OWASP Top10 [электронный ресурс] : научно-популярный, открытый доступ. URL: https://www.owasp.org/images/0/0f/OWASP_T10_- _2010_rc1.pdf (дата обращения: 15.03.2018) 3. Web app architectures [электронный ресурс] : научно-популярный, открытый доступ. URL: http://www.cs.toronto.edu/~mashiyat/csc309/Lectures/Web %20App%20Architectures.pdf (дата обращения: 18.03.2018) 4. Особенности тестирования web-приложений. [электронный ресурс] URL: http://qaevolution.ru/osobennosti-testirovaniya-web-prilozhenij/ (дата обращения: 18.03.2018) 5. Open to attack. Vulnerabilities of the Linux Random Number Generator [электронный ресурс] : научно-популярный, открытый доступ. URL: http://qaevolution.ru/osobennosti-testirovaniya-web-prilozhenij/ (дата обращения: 20.04.2018) 6. Hot or Not: Revealing Hidden Services by their Clock Skew [электронный ресурс]: научно- популярный, открытый доступ. URL:http://sec.cs.ucl.ac.uk/users/smurdoch/papers/ccs06hotornot.pdf (дата обращения: 20.04.2018) 7. CVE-2013-1662 [электронный ресурс] : научно-популярный, открытый доступ. URL: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE2013-1662 (дата обращения: 18.02.2018) 8. Vulnerabilities in data processing levels [электронный ресурс] : научно-популярный, открытый доступ. URL: http://www.slideshare.net/beched/slides-34960189 (дата обращения: 02.06.2018) 9. Проблемы информационной безопасности [электронный ресурс] : научно-популярный, открытый доступ. URL: http://ieu.cfuv.ru/viewfile/2372/Сборник трудов ІІ междунар. конфер. Проблемы-информационной безопасности -2016.pdf (дата обращения: 15.02.2018) 10. 2015 Web Application Attack Report [электронный ресурс] : научно- популярный, открытый доступ. URL: https://www.owasp.org/images/0/0f/OWASP_T10_-_2010_rc1.pdf (дата обращения: 12.05.2018) 11. Уязвимости веб-приложений [электронный ресурс] : научно- популярный, открытый доступ. URL: http://www.ptsecurity.ru/upload/ptru/analytics/Web-Vulnerability-2016-rus.pdf (дата обращения: 17.05.2018 12. XSS атака сайта и способы защиты. Как сделать и проверить XSS уязвимостьhttp://consei.ru/xss-ataka-sajta-i-sposoby-zashhity/ 13. Acunetix Web Vulnerability Scanner [электронный ресурс]. URL: http://itstream.net/products/element.php?ELEMENT_ID=391 (дата обращения: 28.05.2018) 14. Andrews M., The State of Web Security. IEEE Security & Privacy, vol. 4, no. 4, pp. 14-15, 2006. 15. Shah S., “An Introduction to HTTP fingerprinting”, http://netsquare.com/httprint/httprint_paper.html, 2004. 16. Защита от SQL injection и XSS (функция secureInnerData)http://n3info.blogspot.com/2013/05/sql-injection-xss-secureinnerdata.html 17. Benedikt M., Freire J., Godefroid P., VeriWeb: Automatically Testing Dynamic Web Sites. Proceesings of 11-th WWW Conference, 2002. 18. Raghavan S., Garcia-Molina H., Crawling the Hidden Web. Stanford University Technical Report, 2000. 19. The Next Generation Platform for end-to-end Web Application Scanning [электронный ресурс]. URL: https://www.qualys.com/suite/web-applicationscanning/#features (дата обращения: 29.05.2018) 20. Hacme Bank v2.0 Released [электронный ресурс]. URL: http://www.mcafee.com/us/downloads/free-tools/hacme-bank.aspx (дата обращения: 03.06.2018) 21. Category:OWASP WebGoat Project [электронный ресурс] : научно- популярный, открытый доступ. URL: https://www.owasp.org/index.php/Category:OWASP WebGoat_Project (дата обращения: 03.06.2018) 22. Безопасность web-приложений http://www.fortconsult.net/ru/ваши-трудности/безопасность-веб-приложений 23. Yao-Wen Huang, Shih-Kun Huang Tsung-Po Lin Chung-Hung Tsai Web Application Security Assessment by Fault Injection and Behavior Monitoring. Proceedings of 12-th WWW Conference, 2003.
Отрывок из работы

ГЛАВА 1. ОБЗОР СУЩЕСТВУЮИХ УЯЗВИМОСТЕЙ В WEB-ПРИЛОЖЕНИЯХ И МЕТОДЫ ИХ ОБНАРУЖЕНИЯ 1.1. OWASP TOP-10 2017 Open Web Application Security Project (OWASP) - это открытый проект, предназначенный для обеспечения безопасности веб-приложений. В данное сообщество входят образовательные организации, различные корпорации, а также частные лица со всего мира. Целью OWASP является создание учебных пособий, статей, различной документации, технологий и инструментов, находящихся в свободном доступе для каждого пользователя. В общей базе содержится более 500 тысяч уязвимостей в тысячах приложений и сотнях организаций. Сообщество OWASP составило список самых опасных уязвимостей веб-приложений, основанных на 8 базах данных от семи организаций, включающие три компании вендоров SaaS и четыре консалтинговые фирмы. В данной работе приводится список от 2017 года данного сообщества. 1.1.1. Внедрение кода Как правило, все данные, хранятся в специальных базах, обращения к ним строятся в виде запросов, обычно они написаны на специальном языке запросов SQL (Structured Query Language – структурированный язык запросов). SQL-запросы используются приложениями чтобы получать, изменять, удалять или добавлять данные, например, редактирование пользователем личных данных или при заполнении анкеты на сайте. При недостаточной проверке данных от пользователя, злоумышленник может внедрить в форму Web-интерфейса приложения специальный код, содержащий кусок SQL-запроса. Такой вид атаки называется инъекция, в данном случае самый распространённый — SQL-инъекция. Это наиболее опасная уязвимость, которая дает злоумышленнику возможность читать/удалять/изменять информацию, которая для него не предназначена, путем получения доступа к базе данных.
Не смогли найти подходящую работу?
Вы можете заказать учебную работу от 100 рублей у наших авторов.
Оформите заказ и авторы начнут откликаться уже через 5 мин!
Похожие работы
Дипломная работа, Информатика, 52 страницы
290 руб.
Курсовая работа, Базы данных, 30 страниц
379 руб.
Дипломная работа, Базы данных, 60 страниц
290 руб.
Служба поддержки сервиса
+7(499)346-70-08
Принимаем к оплате
Способы оплаты
© «Препод24»

Все права защищены

Разработка движка сайта

/slider/1.jpg /slider/2.jpg /slider/3.jpg /slider/4.jpg /slider/5.jpg