Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал:
http://elartu.tntu.edu.ua/handle/lib/30604| Назва: | Побудова середовища розробки веб-додатків з оптимальним рівнем безпеки |
| Інші назви: | Construction of an environment of web-applications development with optimum security level |
| Автори: | Лавринець, Орест Олександрович Lavrynets, Orest |
| Приналежність: | Тернопільський національний технічний університет імені Івана Пулюя |
| Бібліографічний опис: | Лавринець О.О. Побудова середовища розробки веб-додатків з оптимальним рівнем безпеки : дипломна робота магістра за спеціальністю „125 — кібербезпека“/О.О. Лавринець. — Тернопіль: ТНТУ, 2019. — 86 с. |
| Дата публікації: | гру-2019 |
| Дата внесення: | 21-січ-2020 |
| Країна (код): | UA |
| Науковий керівник: | Грод, Іван Миколайович |
| УДК: | 004.056.5 |
| Теми: | ramework agile spring веб-додаток вразливості веб-додатків безпека веб-додатків web addition web additional vulnerabilities web additional security |
| Діапазон сторінок: | 86 |
| Короткий огляд (реферат): | Об'єкт дослідження: фреймворки для розробки веб-додатків
Мета роботи (проекту): Створити максимально повний фреймворк для старту веб-додатку, використовуючи Spring Security для управління сесіями, механізмами аутентифікації і авторизації. Це дозволить реалізувати валідацію вхідних даних, механізм зберігання даних користувачів і знизити трудомісткість використання. Далі веб-додаток буде розвиватися з уже обмеженого стандартними налаштуваннями стану відповідно до гнучкої моделі розробки додатків.
Методи дослідження: В процесі дослідження використано загальнонаукові методи пізнання: аналіз, порівняння, системний аналіз, моделювання.
У спеціальну частину було присвячений проблемі оптимізації тестування веб-додатків їх побудові.
В економічному розділі визначено економічну ефективність від розробки і реалізації запропонованого середовища.
Практичне значення роботи полягає в можливості використання розробленого середовища для розробки веб-додатків.
Результати проведених в дипломній роботі досліджень можуть бути використані для подальшої роботи над удосконаленням середовища розробки веб-додатків з оптимальним підвищеним безпеки.
Наукова новизна роботи полягає у створені фреймворка для розробки веб-додатків з оптимальним рівнем безпеки, що покриває найбільш розповсюдженні вразливості. Object of study: frameworks for web application development Purpose (project): To create the most complete framework for launching a web application, using Spring Security to manage sessions, authentication and authorization mechanisms. This will allow the validation of input data, the mechanism of storage of user data and reduce the complexity of use. In the future, the web application will evolve from the already limited standard status settings according to the flexible application development model. Research Methods: In the course of the research, general scientific methods of cognition were used: analysis, comparison, system analysis, modeling. A special part was devoted to the problem of optimizing the testing of web applications for their construction. The economic section identifies the cost-effectiveness of developing and implementing the proposed environment. The practical value of the work is the ability to use the developed environment for web application development. The results of the undergraduate research can be used to further work on improving the web application development environment with optimum enhanced security. The scientific novelty of the work is to create a framework for developing web applications with an optimal level of security, covering the most common vulnerabilities. |
| Опис: | Роботу виконано на кафедрі кібербезпеки Тернопільського національного технічного університету імені Івана Пулюя Керівник роботи: доктор. ф.-м. н., доцент Грод Іван Миколайович Тернопільський національний технічний університет імені Івана Пулюя, Рецензент: кандидат технічних наук, доцент Гладьо Юрій Богданович Тернопільський національний технічний університет імені Івана Пулюя, Тернопільський національний технічний університет імені Івана Пулюя Захист відбудеться 26 грудня 2018 р. о 9.00 годині на засіданні екзаменаційної комісії №32 у Тернопільському національному технічному університеті імені Івана Пулюя за адресою: 46001, м. Тернопіль, вул. Руська, 56, навчальний корпус №1, ауд. 806. |
| Зміст: | ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ ... 6 ВСТУП ..... 7 1 АНАЛІЗ ПРИДМЕТНОЇ ОБЛАСТІ ....8 1.1 Фреймворки ... 8 1.2. Методології....12 1.3. Вимоги до безпеки веб-додатки .....17 1.4. Висновок .....20 2. РЕАЛІЗАЦІЯ ФУНКЦІЙ ...23 2.1. Обґрунтування вибору технологій ...23 2.2. Хешування .....24 2.3. Аутентифікація ....24 2.5. Валідація даних .....31 2.6. Логування .....34 2.7. Перевірка безпеки додатку .......40 3 ЗАСТОСУВАННЯ РОЗРОБЛЕНОГО ФРЕЙМВОРКА....43 3.1. Галузь застосування ...43 3.2. Складання .....43 3.3. Використання ..44 3.3.1 Налаштування контексту безпеки ....47 3.3.2 Сервіс авторизації ....48 3.3.3 База даних ....49 3.3.4 Валідація даних .....51 3.3.5 Логування ...52 3.3.6 криптографія .....52 4 ОПТИМІЗАЦІЯ ТА АВТОМАТИЗАЦІЯ ТЕСТУВАННЯ ВЕБ-ДОДАТКІВ.....54 4.1 Побудова автоматизованих систем, оптимізованих під веб-додаток.....55 4.2 Утиліти.....56 4.3.1 Owasp ZAP ....57 4.3.2 Burp Suite .....59 4.4 Висновок ......62 5 ОБҐРУНТУВАННЯ ЕКОНОМІЧНОЇ ЕФЕКТИВНОСТІ ....63 Концепція ....63 Ринок і план маркетингу....63 Розрахунок вартості проекту ...64 Висновок ......67 6 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ ...68 6.2 Використання комп’ютерної техніки по оцінці обстановки.....70 7 ЕКОЛОГІЯ ....75 1. Програмне забезпечення еколого - статистичних досліджень. ....75 2. Комплексна оцінка екологічності виробництва. ......78 ВИСНОВКИ ...82 БІБЛІОГРАФІЯ ...83 |
| URI (Уніфікований ідентифікатор ресурсу): | http://elartu.tntu.edu.ua/handle/lib/30604 |
| Власник авторського права: | „© Лавринець Орест Олександрович, 2019“ |
| Перелік літератури: | 1. Wikipedia - Software Framework [Електронний ресурс] // URL: https://en.wikipedia.org/wiki/Software_framework (Дата звернення: 23.11.19) 2. Positive Technologies - Уразливості веб-додатків 2018 [Електронний ресурс] // URL: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Web- 3. Vulnerability-2018.pdf (Дата звернення: 23.11.19) 4. Spring Boot Docs [Електронний ресурс] // URL: https://docs.spring.io/spring-boot/docs/current/reference/html/bootfeatures-developing-auto-configuration.html (Дата звернення:23.11.19) 5. Inversion of Control Containers and Dependency Injection pattern [Електронний ресурс] // URL: https://martinfowler.com/articles/injection.html (Дата звернення: 23.11.19) 6. Spring Security Reference [Електронний ресурс] // URL: https://docs.spring.io/spring-security / site / docs / 5.0.0.RELEASE / reference / htmlsingle / (Дата звернення: 23.11.19) 7. Agile. Secure software development [Електронний ресурс] // URL: https://www.checkmarx.com/2017/04/20/six-steps-secure-softwaredevelopment-agile-era/ (Дата звернення: 23.11.19) 8. Управління вимогами безпеки в Agile проектах - Rohit Sethi [Електронний ресурс] // URL:http://agilerussia.ru/practices/security-requirements/ (Дата звернення:20.11.19) 9. Журнал школи IT-Мененджмент [Електронний ресурс] // URL:http://journal.itmane.ru/node/1572/ (Дата звернення: 20.11.19) 84 10. OWASP - Top Ten Proactive Controls [Електронний ресурс] // URL:http://master.cmc.msu.ru/files/OWASP_Top_Ten_Proactive_Controls_ v2_rus.pdf (Дата звернення: 23.11.19) 11. Technical University of Crete. Password-Hashing. : Chania, 27 June 2017 12. Wikipedia - Blowfish [Електронний ресурс] // URL:https://ru.wikipedia.org/wiki/Blowfish (Дата звернення: 23.11.19) 13. Habrahabr - SQL vs ORM [Електронний ресурс] // URL: https://habrahabr.ru/company/pgdayrussia/blog/328690/ (Дата звернення: 23.11.19) 14. Мартін Фаулер. OrmHate [Електронний ресурс] // URL: https://martinfowler.com/bliki/OrmHate.html (Дата звернення:23.11.19) 15. Тест і порівняння ефективності WAF [Електронний ресурс] //URL: https://www.anti-malware.ru/compare/web-application-firewall(Дата звернення: 23.11.19) 16. OWASP - Fuzzing [Електронний ресурс] // URL: https://www.owasp.org/index.php/Fuzzing (Дата звернення:23.11.19) 17. Fuzzing: the Past, the Present and the Future [Електронний ресурс] // URL: http://actes.sstic.org/SSTIC09/Fuzzing-the_Pastthe_Present_and_the_Future/SSTIC09-article-A-Takanen-Fuzzingthe_Past-the_Present_and_the_Future.pdf ( Дата звернення: 23.01.18) 18. Крейг Воллс. Spring in Action. ДМК Прес. 2015 17. OWASP Guide Project [Електронний ресурс] // 85 URL:https://www.owasp.org/index.php/OWASP_Guide_Project (Дата звернення: 23.11.19) 19. OWASP - Logging Cheat Sheet [Електронний ресурс] // https://www.owasp.org/index.php/Logging_Cheat_Sheet (Дата звернення: 23.11.19) 20. Business logic in a web application [Електронний ресурс] // URL: https://www.quora.com/Where-should-we-add-business-logic-in-aweb-application-on-client-side- or-server-side (Дата звернення:23.11.19) 21. Scrumи kanban:выжимаем максимум [Електронний ресурс] http://scrum.org.ua / (Дата звернення:23.11.19) 22. Стів Макконелл. Досконалий код, 2-е видання. СанктПетербург: видавництво "Пітер", 2012 23. Мартін Фаулер. UML Основи, 3-е видання. Санкт-Петербург: видавництво "СімволПлюс", 2005. 24. [Електронний ресурс ] https://ua.trud.com/ua/salary/2/67664.html side (Дата звернення:23.11.19) 25. [Електронний ресурс ] https://www.pentestit.ru/site-security-audit/ side (Дата звернення:23.11.19) 26. Петренко А.І. ОСНОВИ АВТОМАТИЗОВАНОГО ПРОЕКТУВАННЯ ОБ"ЄКТІВ ТА СИСТЕМ (Конспект лекцій) / Петренко А.І. – К. : Видавництво ВМУРОЛ «Україна», 2002. – 211 с. 27. Larisa Globa. Modified model driven software development / Larisa Globa.-"Polish J. of Environ. Stud ", Vol. 18, No. 4А (2009), pp.39-43. 28. Лаврищева Е.М. Методы и средства инженерии программного обеспечения [учебник, Московский физико-технический институт (государственный университет)] / Лаврищева Е.М. , Петрухин В.А.. – Москва, 2006. – 304 c. 29. Yordon E. Structured Design [2nd edition] / Yordon E., Larry L. Constantine. - New York: Yordon Press, 1984. - 700 p. 30. Yourdon E. Modern Structured Analysis / Yourdon E. - Prentice-Hall, 1989. - 672 p. 31. Майерс Г. Надежность программного обеспечения / Пер. с англ. Ю.Ю.Галимова; Под ред. В.Ш.Кауфман. –М.: Мир, 1980. – 360 с. 32. Jackson M. Software requirement & specifications / Jackson M. –Wokingham, England: Addison–Wesley, ACM Press Books, 1995. –228 p. 33. Orr K. Structured system development / Orr K. - NY: Yourdon Press, 1971. 34. Schmidt D. C. Model-driven engineering, / Schmidt D. C. - IEEE Computer, vol. 39, February 2006. - pp. 25-31. 35. Per Kroll. Rational Unified Process Made Easy-A Practitioner's Guide to the RUP / Per Kroll, Philippe Kruchten. - Addison-Wesley, 2003. – 464 p. 36. Oscar Pastor. Model-Driven Architecture in Practice: A Software Production Environment Based on Conceptual Modeling / Oscar Pastor, Juan Carlos Molina. – Berlin Heilelberg: Springer, 2007. - 302 p. |
| Тип вмісту: | Master Thesis |
| Розташовується у зібраннях: | 125 — кібербезпека |
Файли цього матеріалу:
| Файл | Опис | Розмір | Формат | |
|---|---|---|---|---|
| avtorska_Lavrynets.pdf | Авторська довідка | 476,74 kB | Adobe PDF | Переглянути/відкрити |
| Avtoreferat Lavrynets.pdf | Автореферат | 299,06 kB | Adobe PDF | Переглянути/відкрити |
| Dyp_ Lavrynets_2019.pdf | Магістерська робота | 1,36 MB | Adobe PDF | Переглянути/відкрити |
Усі матеріали в архіві електронних ресурсів захищені авторським правом, всі права збережені.
Інструменти адміністратора