Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал:
http://elartu.tntu.edu.ua/handle/lib/30593| Назва: | Розробка CMS та методів захисту web-сайтів на її основі |
| Інші назви: | CMS development and CMS-based websites safety methods |
| Автори: | Тригубець, Богдан Іванович Tryhubets, Bohdan |
| Приналежність: | Тернопільський національний технічний університет імені Івана Пулюя |
| Бібліографічний опис: | Тригубець Б. І. Розробка CMS та методів захисту web-сайтів на її основі : дипломна робота магістра за спеціальністю „125 — кібербезпека“/ Б. І. Тригубець. — Тернопіль: ТНТУ, 2019. — 100с. |
| Дата публікації: | гру-2019 |
| Дата внесення: | 20-січ-2020 |
| Країна (код): | UA |
| Науковий керівник: | Марценюк, Василь Петрович |
| Теми: | CMS web-сайт інтернет-магазин захист web-сайтів методи захисту Укрпошта API LiqPay API SendGrid API OneSignal API website online-store online-shopping website security security methods Ukrposhta API |
| Діапазон сторінок: | 100 |
| Короткий огляд (реферат): | Метою роботи є дослідження існуючих інструментів для
спрощення взаємодії користувача з інтернет-магазинами та для спрощення взаємодії
інтернет-магазинів з службами доставки, розробка на їх основі власної CMS для
українського ринку, а також аналіз основних загроз роботи web-сайтів, та їх
врахування при розробці захищеної CMS та web-сайтів на її основі.
В даній роботі було здійснено розробку нової захищеної CMS для інтернет-
магазину, яка є зручною та конкурентноспроможною на українському ринку. The aim of the work is to research existing tools to facilitate user interaction with online stores and to facilitate interaction of online stores with delivery services, to develop new CMS for the Ukrainian market, as well as to analyze the main threats to the operation of websites, and their consideration in the development secure CMS and websites based on it. As result of this work, we developed a new secure CMS for online-shopping, which is convenient and competitive in the Ukrainian market. |
| Опис: | Роботу виконано у Тернопільському національному технічному університеті імені Івана Пулюя. Науковий керівник: доктор технічних наук Марценюк Василь Петрович, Тернопільський національний технічний університет імені Івана Пулюя, кафедра кібербезпеки, доцент. Рецензент: д.к.н., професор Кунанець Наталія Едуардівна, Тернопільський національний технічний університет імені Івана Пулюя, кафедра комп'ютерних наук, доцент. Захист відбудеться 24 грудня 2019 р. о 9 год. на засіданні Державної екзаменаційної комісії у Тернопільському національному технічному університеті імені Івана Пулюя за адресою: 46001, м. Тернопіль, вул. Руська, 56. |
| Зміст: | ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ ......9 ВСТУП ...10 РОЗДІЛ 1 СТВОРЕННЯ WEB-САЙТІВ ТА ПРОБЛЕМИ ЇХ ЗАХИСТУ ....12 1.1 Створення web-сайтів ..12 1.1.1 Підхід до створення web-сайту .12 1.1.2 Огляд існуючих CMS та їх порівняння .....14 1.2 Атаки на сервер ......5 1.2.1 DDoS - атаки ....15 1.2.2 Атака через FTP/SSH ...17 1.2.3 Відсутність SSL-сертифікату ......18 1.3 Атаки на програмну частину ....18 1.3.1 SQL-ін’єкції ...8 1.3.2 Атаки типу Сross Site Scripting (XSS) ...20 1.3.3 Недостатня аутентифікація та авторизація .....21 1.3.4 Вразливості плагінів популярних CMS ...23 1.4 Висновки до розділу ....24 РОЗДІЛ 2 РОЗРОБКА CMS ТА МЕТОДІВ ЗАХИСТУ WEB-САЙТУ ...25 2.1 Визначення функціоналу нової CMS ...25 2.1.1 Вимоги до розробки нової CMS ...25 2.1.2 Вибір інструментів для розробки CMS .......26 2.2 Розробка CMS ....26 2.2.1 Інтеграція API Укрпошти ......26 2.2.4 Авторизація через API соцмережі Facebook ...34 2.2.5 Інтеграція з платіжною системою LiqPay ....35 2.2.6 СМС та Email-сповіщення .....37 2.2.7 Push-сповіщення через API OneSignal ...38 2.2.8 Інтеграція з API Telegram ....39 2.2 Захист серверу .....41 2.2.1 Використання сервісу Cloudflare ...41 2.2.2 Використання SSH-ключа замість паролю .....42 2.2.3 Використання протоколу HTTP/3 ....44 2.2.4 Безпечне з’єднання через криптографічні протоколи TLS/SSL ...46 2.2.5 Використання Kernel-based Virtual Machine (KVM) ....48 2.2.6 Правильне налаштування .htaccess та .htpasswd ......49 2.3 Захист програмної частини .......51 2.3.1 Безпечне програмування та перевірка вхідних данних ...51 2.3.2 Захист від передачі сторонніх cookie і прихованої ідентифікації ...54 2.3.3 Двохфакторна аутентифікація через Google Authenticator ...55 2.3.4 Розмежування прав доступу користувачів до функцій адмін-панелі ..56 2.3.5 Переваги використання власної розробки над популярними рішеннями ........57 2.4 Висновки до розділу ......57 РОЗДІЛ 3 РОБОТА CMS .....58 3.1 Модуль авторизації та аутентифікації ...58 3.1.1 Авторизація за допомогою паролю .......58 3.1.2 Другий фактор аутентифікації ....59 3.1.3 Генерація токену сесії та його перевірка ....60 3.2 Функції адмін-панелі ...61 3.2.1 Створення публікації ......61 3.2.2 Каталог товарів ....62 3.2.3 Розділ замовлень .....63 3.3 Журнал подій .....64 3.3.1 Звіт про події в адмін-панелі .....64 3.3.2 Логування з використанням LogDNA .....64 3.4 Розподіл прав користувачів .....66 3.4.1 Видача прав користувачу .....66 3.4.2 Спроба доступу до розділу без наявності прав ....66 3.5 Висновки до розділу ....67 РОЗДІЛ 4 ТЕСТУВАННЯ АТАК НА WEB-САЙТ ......68 4.1 Вибір середовища тестування ...68 4.2 Тестування на SQL-ін'єкції ......68 4.3 Тестування на атаку XSS .....69 4.4 Тестування на brute-force-атаку на SSH ...70 4.5 Висновки до розділу ......71 РОЗДІЛ 5 ОБҐРУНТУВАННЯ ЕКОНОМІЧНОЇ ЕФЕКТИВНОСТІ ...72 5.1 Розрахунок норм часу на виконання науково-дослідної роботи ......72 5.2 Визначення витрат на оплату праці та відрахувань на соціальні заходи ...73 5.3 Розрахунок матеріальних витрат .....75 5.4 Розрахунок витрат на електроенергію ...76 5.5 Розрахунок суми амортизаційних відрахувань .....76 5.6 Обчислення накладних витрат ...77 5.7 Кошторис та визначення собівартості науково-дослідницької роботи ......77 5.8 Розрахунок ціни науково-дослідної роботи .....78 5.9 Визначення економічної ефективності і терміну окупності ....79 5.10 Висновки до розділу ....80 РОЗДІЛ 6 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ.....81 6.1 Охорона праці ...81 6.2 Фактори ризику та можливі порушення здоров'я користувачів комп'ютерної мережі .......84 6.3 Висновки до розділу .....88 РОЗДІЛ 7 ЕКОЛОГІЯ ................89 7.1 Організаційні форми, види і способи статистичного спостереження в екології .....89 7.2 Джерела електромагнітних полів, іонізуючих випромінювань і методи їх знешкодження ......91 7.3 Висновки до розділу ...93 ВИСНОВКИ ....94 БІБЛІОГРАФІЯ ....95 |
| URI (Уніфікований ідентифікатор ресурсу): | http://elartu.tntu.edu.ua/handle/lib/30593 |
| Власник авторського права: | „© Тригубець Богдан Іванович, 2019“ |
| Перелік літератури: | 1. Seth F., Jeremiah G. XSS Attacks: Cross Site Scripting Exploits and Defense. –Syngress, 2011. – 480 с. - http://univd.edu.ua/science-issue/issue/3346 2. Mike Chan, Thor Technologies, Passwords vs. SSH keys – what’s better for authentication? https://www.thorntech.com/2018/12/passwords-vs-ssh/ 3. SSH, The Secure Shell: The Definitive Guide 2nd (second) Edition by Daniel J. Barrett, Richard E. Silverman, Robert G. Byrnes published by O'Reilly Media (2005) Paperback – 1994 - 49 сторінка 4. Imperva cybersecurity - Distributed denial of service attack (DDoS) definition - https://www.imperva.com/learn/application-security/ddos-attacks/ 5. The Cloudflare Blog - Alessandro Ghedini, Rustam Lalkaka - HTTP/3: the past, the present, and the future - https://blog.cloudflare.com/http3-the-pastpresent- and-future/ 6. Passwords vs. Private Keys, Johannes Weber - https://blog.webernetz.net/ passwords-vs-private-keys/ 7. The Chromium Projects - QUIC, a multiplexed stream transport over UDP - https://www.chromium.org/quic 8. Cloudflare Security Solutions - https://www.cloudflare.com/en-au/security/ 9. WP Engin digital experience platform - What 10 million passwords reveal about the people who choose them - https://wpengine.com/unmasked/ 10. Cloudflare Security Solutions - Why is HTTP not secure? HTTP vs. HTTPS - https://www.cloudflare.com/learning/ssl/why-is-http-not-secure/ 11. SameSite cookies explained, Rowan Merewood - https://web.dev/ samesite-cookies-explained/ 12. OWASP Top 10 2017 – Application Security Risks, Arden Rubens - https://www.checkmarx.com/2017/12/03/closer-look-owasp-top-10-applicationsecurity- risks/ 13. PHP: htmlspecialchars() function - https://www.w3resource.com/php/ function-reference/htmlspecialchars.php 14. ISO-8859-1 - https://kb.iu.edu/d/aepu 96 15. What is KVM?, Red Hat - https://www.redhat.com/en/topics/ virtualization/what-is-KVM 16. HOTP: An HMAC-Based One-Time Password Algorithm, D. M’Raihi, M. Bellare, UCSD, F. Hoornaert, Vasco, D. Naccache, Gemplus, O. Ranen, Aladdin, December 2005 - https://tools.ietf.org/html/rfc4226 17. TOTP: Time-Based One-Time Password Algorithm, D. M’Raihi, Verisign, Inc., S. Machani, Diversinet Corp., M. Pei, Symantec, J. Rydell, Portwise, Inc., May 2011 - https://tools.ietf.org/html/rfc6238 18. Unrestricted File Upload, OWASP™ Foundation the free and open software security community - https://www.owasp.org/index.php/ Unrestricted_File_Upload 19. The MD5 Message-Digest Algorithm - MIT Laboratory for Computer Science and RSA Data Security, Inc., April 1992 https://tools.ietf.org/html/rfc1321 20. АТ «Укрпошта» — єдиний національний оператор поштового зв’язку України - Про Укрпошту - https://www.ukrposhta.ua/ua/pro-ukrposhtu 21. Select2 - Select2 jQuery-based replacement for select boxes - https:// github.com/select2/select2 22. SafeMySQL - PHP class for safe and convenient handling of MySQL querie - https://github.com/colshrapnel/safemysql 23. LiqPay - Правила формування запиту на проведення платежу - https:// www.liqpay.ua/documentation/uk/data_signature 24. Telegram FAQ - https://telegram.org/faq 25. About webhooks - GitHub - https://help.github.com/en/github/extendinggithub/ about-webhooks 26. LogDNA is a log management company - https://logdna.com/about/ 27. DDoS Protection Attack Analytics and rapid response - Anupam Vij Senior Product Manager, Azure Networking - https://azure.microsoft.com/enus/ blog/ddos-protection-attack-analytics-rapid-response/ 28. Pentestit Information Security — Brute-force attacks with Kali Linux - https://medium.com/@Pentestit_ru/brute-force-attacks-using-kalilinux- 49e57bb89259 97 29. XSSer – Automated Web Pentesting Framework Tool to Detect and Exploit XSS vulnerabilities - Gurubaran - https://gbhackers.com/xsser-automatedframework- detectexploit-report-xss-vulnerabilities/ 30. Тарасова В.В. - Екологічна статистика, 2008 – С.77 – 87. 31. Основи охорони праці: Навч. посіб. / Воронов І.О., Коваленко І.Д., Афанасьєв П.В., Булгач Т.В. – К.: Генеза, 2004. – С.96 – 116. 32. Гандзюк М.П., Желібо Є.П., Халімовський М.О. Основи охорони праці.- Київ: Вища освіта в Україні, 2013. – С.200 – 244. 33. Ильин Л.А., Кириллов В.Ф., Коренков И.П. Радиационная гигиена. – М., Медицина, 1999. – С.157-175. 34. Основні санітарні правила забезпечення радіаційної безпеки України. Наказ МОЗ України 02.02.2005 № 54. 35. Катренко Л.А., Кіт Ю.В., Пістун І.П. Охорона праці.- Суми.- 2009.- С.107 - 123. 36. SQL Injection with Kali Linux - Bima Fajar Ramadhan - https:// linuxhint.com/sql-injection-kali-linux/ 37. Protection against Cross-site scripting (XSS) via PHP - https:// github.com/voku/anti-xss |
| Тип вмісту: | Master Thesis |
| Розташовується у зібраннях: | 125 — кібербезпека |
Файли цього матеріалу:
| Файл | Опис | Розмір | Формат | |
|---|---|---|---|---|
| avtorska Tryhubets.pdf | Авторська довідка | 82,02 kB | Adobe PDF | Переглянути/відкрити |
| Avtoreferat Tryhubets.pdf | Автореферат | 201,09 kB | Adobe PDF | Переглянути/відкрити |
| Dyp_ Tryhubets_2019.pdf | Магістерська робота | 5,22 MB | Adobe PDF | Переглянути/відкрити |
Усі матеріали в архіві електронних ресурсів захищені авторським правом, всі права збережені.
Інструменти адміністратора