Онлайн поддержка
Все операторы заняты. Пожалуйста, оставьте свои контакты и ваш вопрос, мы с вами свяжемся!
ВАШЕ ИМЯ
ВАШ EMAIL
СООБЩЕНИЕ
* Пожалуйста, указывайте в сообщении номер вашего заказа (если есть)

Войти в мой кабинет
Регистрация
ГОТОВЫЕ РАБОТЫ / ДИПЛОМНАЯ РАБОТА, РАЗНОЕ

Разработка универсального модуля сканирования XSS уязвимостей

Workhard 560 руб. КУПИТЬ ЭТУ РАБОТУ
Страниц: 61 Заказ написания работы может стоить дешевле
Оригинальность: неизвестно После покупки вы можете повысить уникальность этой работы до 80-100% с помощью сервиса
Размещено: 03.01.2023
РЕФЕРАТ Дипломная работа 65 с., 21 рис., 1 табл., 22 источников. КЛЮЧЕВЫЕ СЛОВА : XSS, УЯЗВИМОСТЬ, ВЕБ ПРИЛОЖЕНИЕ, МОДУЛЬ, СКАНЕР, ВЕБСАЙТ Объектом исследования являются XSS уязвимость. Цель дипломной работы – является повышение эффективности защиты веб-приложения от XSS-атак путем разработки модуля (программы), осуществляющего поиск XSS-уязвимостей на основе анализа полной карты веб-приложения. В процессе работы разработала алгоритм обнаружения XSS- уязвимости на веб приложение и на основе этого алгоритма создала модуль обнаружения XSS уязвимости и алгоритм работы его. Элементом новизны стоит отнести поиск XSS-уязвимостей с предварительной авторизацией на тестируемом веб-приложении для создания полной карты веб-ресурса. В результате исследования использование разработанного модуля по детектированию XSS уязвимостей повысит эффективность защиты веб-приложения.
Введение

ВВЕДЕНИЕ На сегодняшний день информатизация является одним из приоритетных направлений развития всех экономических отраслей. Практически каждая организация, коммерческая или государственная, имеет свой интернет-сайт, вводит всевозможные онлайн-услуги. В электронном виде хранятся персональные данные клиентов и сотрудников, финансовая информация и данные о хозяйственной деятельности. В связи с этим задача обеспечения безопасности веб приложений становится важнее год от года. К сожалению, разработчики корпоративных информационных систем не всегда следуют требованиям безопасности — из-за отсутствия необходимого опыта или просто сосредоточиваясь на иных целях при разработке системы. На сегодняшний день, подавляющее большинство веб приложений содержат уязвимости, которые могут стать причиной финансового или репутационного ущерба. Является наиболее распространенной уязвимостью, согласно исследованиям международной организации OWASP. Обеспечение надлежащего уровня безопасности приложения невозможно без проведения тестирования безопасности. Но, проведение такого тестирования вручную сопряжено с большим количеством затраченных ресурсов и требует более высокой квалификации разработчиков, а иногда, и специального отдела, отвечающего за безопасность. Кроме того, человеческий фактор в вопросах тестирования безопасности приложения может сыграть губительную для компании роль. Таким образом, для обеспечения надлежащего уровня безопасность рекомендуется использовать автоматическое тестирование. Целью данной работы является создание модуля (программы) для автоматизированного тестирования веб приложения на наличие XSS уязвимостей, способной сочетать высокий уровень покрытия и обнаружения, а также простоту настройки и использования. Неотъемлемой частью создания новой системы является изучение существующих систем, позволяющих выполняющих аналогичные цели.
Содержание

СОДЕРЖАНИЕ Определения 8 Обозначения и сокращения 10 Введение 11 Глава 1 Тестирование на проникновение 13 1.1 Ответственность за исследование и взлом чужой программы, сервиса, сети 17 1.2 Административная ответственность 21 1.3 Уголовная ответственность 22 1.4 Снижение риска привлечения к ответственности исследователя 24 Глава 2 XSS уязвимость 27 2.1 Типы атак межсайтового скриптинга 28 2.2 Рекомендации по предотвращению XSS 33 Глава 3 Разработка универсального модуля сканирования XSS уязвимостей 40 3.1 Организация пентест- лаборатории 40 3.2 Разработка алгоритма обнаружения XSS уязвимости 43 3.3 Реализация алгоритма на практике в ручном режиме 46 3.4 Разработка модуля для автоматизация алгоритма обнаружения XSS уязвимости 51 Заключение 58 Список использованных источников 59 Приложение 1 61 Приложение 2 62
Список литературы

1. Ярошенко А.А. Хакинг на примерах. Уязвимосrи, взлом, защита - СПБ. : Наука и техника, 2021. - 320 с. 2. Шива П., Kali Linux. Тестирование на проникновение и безопас-ность. — СПб.: Питер, 2020. — 448 с 3. Тестирование безопасности веб-приложений, https://compliance-control.ru/services/testirovanie-bezopasnosti-veb-prilozhenij/ 4. Тестирование web-приложений "на проникновение" (часть 1), https://bugtraq.ru/library/security/webtest1.html 15.01.2022, 13 час. 48 мин. 5. Тестирование web, https://sergeygavaga.gitbooks.io/kurs-lektsii-testirovanie-programnogo-obespecheni/content/lektsiya-6-ch2-testirovanie-web.html,15.01.2022, 16 час. 49 мин. 6. Свейгарт Э. С24 Большая книга проектов Python. — СПб.: Питер, 2022. — 432 с. 7. Разработка методики тестирования мобильных и веб приложений, https://cyberleninka.ru/article/n/razrabotka-metodiki-testirovaniya-na-proniknovenie-mobilnyh-i-veb-prilozheniy,15.01.2022, 12 час. 42 мин. 8. Прутяну Э. Как стать хакером: Сборник практических сценариев, позволяющих понять, как рассуждает злоумышленник / пер. с англ. Д. А. Беликова – М.: ДМК Пресс, 2020. – 380 с. 9. Пентестирование веб-уязвимостей с помощью Damn Vulnerable Web App https://ru.admininfo.info/pentesting-de-vulnerabilidades-web-con-damn-vulnerable-web-app,15.01.2022, 16 час. 20 мин. 10. Дэвис Р. Искусство тестирования на проникновение в сеть / пер. с анг. В. С. Яценкова. – М.: ДМК Пресс, 2021. – 310 с. 11. Десятка лидеров OWASP https://owasp.org/www-project-top-ten/,15.01.2022, 16 час. 11 мин. 12. Грессер Л. Глубокое обучение с подкреплением: теория и практика на языке Python. — СПб.: Питер, 2022. — 416 с. 13. Гифт Н., Берман К., . Python и DevOps: Ключ к автоматизации Linux. — СПб.: Питер, 2022. — 544 с. 14. Виды Тестирования ПО, https://www.it-courses.by/all-software-testing-types/, 15.01.2022, 17 час. 19 мин. 15. Белый, серый и черный ящик, https://www.careerist.com/ru-insights/belyy-seryy-i-chernyy-yashchik, 15.01.2022, 18 час. 48 мин. 16. Бабин С. А. Лаборатория хакера. — СПб.: БХВ-Петербург, 2016. — 240 с. 17. White/Black/Grey Box-тестирование, https://qalight.ua/ru/baza-znaniy/white-black-grey-box-testirovanie/,15.01.2022, 21 час. 58 мин. 18. Как избежать ответственности за поиск уязвимостей, https://xakep.ru/2017/01/12/lawyer-answers-hacker-responsibility-howto/,17.01.2022, 23 час. 58 мин. 19. Скабцов Н., Аудит безопасности информационных систем. — СПб.: Питер, 2018. — 272 с. 20. Фленов М. Е. Web-сервер глазами хакера. — 3-е изд., перераб. и доп. — СПб.: БХВ-Петербург, 2021. — 256 с. 21. Полное пособие по межсайтовому скриптингу https://www.securitylab.ru/analytics/432835.php18.01.2022, 21 час. 51 мин 22. Что такое XSS атака (Cross Site Scripting Attacks). Уроки хакинга. Глава 7.https://cryptoworld.su/chto-takoe-xss-ataka-cross-site-scripting-attacks-uroki-xakinga-glava-7/18.01.2022, 19час. 58 мин.
Отрывок из работы

ГЛАВА 1 ТЕСТИРОВАНИЕ НА ПРОНИКНОВЕНИЕ Тестирование на проникновение — это взлом ради защиты. Суть работы заключается в моделировании и выполнении действий потенциального злоумышленника. Перед началом тестирования на проникновение определяются цели взлома и модель нарушителя. Целью может быть какое-либо нежелательное действие по отношению к системе, при этом представляющее интерес для злоумышленника. Наиболее лакомыми кусками являются сервисы, из которых легко извлечь материальную выгоду, например, связанные с переводом денег. Нарушитель последовательно совершает шаги, приближающие его к этой цели, например, крадет пароли пользователей, получает несанкционированный доступ к определенным данным, повышает привилегии вплоть до получения всех прав администратора системы. В качестве модели нарушителя может быть принята любая роль, с точки зрения которой имеет смысл взглянуть на защищенность объекта тестирования. Это может быть внешний анонимный пользователь, зашедший на сайт компании, её клиент, посетитель офиса, или недавно принятый на работу сотрудник, а может быть и системный администратор или менеджер среднего звена. Тестирование на проникновение может проводиться методом «черного», «серого» и «белого ящика», в зависимости от количества предоставляемой информации о системе. Этот фактор имеет существенное значение, поскольку тестирование выполняется в условиях ограниченного времени, которое в случае недостатка информации придется потратить на её сбор и анализ.[14] Метод «черного ящика» предполагает, что никакой информации о тестируемой системе не предоставляется, и специалист по тестированию на проникновение должен собрать все интересующие его сведения самостоятельно.[4] Преимущества: – тестирование производится с позиции конечного пользователя и может помочь обнаружить неточности и противоречия в спецификации; – тестировщику нет необходимости знать языки программирования и углубляться в особенности реализации программы; – тестирование может производиться специалистами, независимыми от отдела разработки, что помогает избежать предвзятого отношения; – можно начинать писать тест-кейсы, как только готова спецификация. Недостатки: – тестируется только о чень ограниченное количество путей выполнения программы; – без четкой спецификации (а это скорее реальность на многих проектах) достаточно трудно составить эффективные тест-кейсы; – некоторые тесты могут оказаться избыточными, если они уже были проведены разработчиком на уровне модульного тестирования; Противоположностью техники черного ящика является тестирование методом белого ящика, речь о котором пойдет ниже. Метод «белого ящика» предусматривает передачу исполнителю всех значимых с точки зрения безопасности сведений о системе, которые он запросит. Речь идёт о таких вещах как схема сети, описание внутренней
Условия покупки ?
Не смогли найти подходящую работу?
Вы можете заказать учебную работу от 100 рублей у наших авторов.
Оформите заказ и авторы начнут откликаться уже через 5 мин!
Похожие работы
Дипломная работа, Разное, 43 страницы
1200 руб.
Дипломная работа, Разное, 64 страницы
1990 руб.
Служба поддержки сервиса
+7 (499) 346-70-XX
Принимаем к оплате
Способы оплаты
© «Препод24»

Все права защищены

Разработка движка сайта

/slider/1.jpg /slider/2.jpg /slider/3.jpg /slider/4.jpg /slider/5.jpg