1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека
Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал: http://elartu.tntu.edu.ua/handle/lib/36798
Назва: Удосконалення стандартних методів захисту веб-додатків
Інші назви: Study and improvement of standard methods of web-applications protection
Автори: Степанов, Андрій В’ячеславович
Stepanov, Andrii
Приналежність: Тернопільський національний технічний університет імені Івана Пулюя
Бібліографічний опис: Степанов А. В. Удосконалення стандартних методів захисту веб-додатків : кваліфікаційна робота магістра за спеціальністю „125 — кібербезпека“ / А. В. Степанов. — Тернопіль: ТНТУ, 2021. — 87 с.
Дата публікації: 23-гру-2021
Дата внесення: 24-гру-2021
Видавництво: ТНТУ
Країна (код): UA
Місце видання, проведення: Тернопіль
Науковий керівник: Карпінський, Микола Петрович
Karpinski, Mikolaj
Члени комітету: Лещишин, Юрій Зіновійович
Leshchyshyn, Yuriy
УДК: 004.056
Теми: 125
кібербезпека
web-додаток
стандартні засоби захисту
вразливість
перебір
валідація
тестування
WAF
XSS
SQL-ін’єкція
web-application
standard methods of web-app protection
vulnerability
brute force
validation, testing
SQL-injection
Кількість сторінок: 87
Короткий огляд (реферат): В роботі було проведено огляд літературних джерел в області дослідження. Здійснено огляд загального стану безпеки та вразливостей веб-додатків. Описано процес тестування безпеки веб-додатка. Також, здійснено огляд використання WAF. Описано, найпоширеніші способи захисту веб-додатків від підбору, слабкої валідації відновлення пароля, XSS та SQL-ін’єкцій. У результаті виконання дипломної роботи, були розроблені удосконалення, які є простими в реалізації, ефективними, надійними та продуктивними, що дозволяє використовувати їх при розробці нових додатків, або інтегрувати їх, як удоконалення, до вже наявних механізмів захисту додатка.
The paper reviews literature sources in the field of research. A comparative analysis of the general state of security and vulnerabilities of the web-apps is conducted. The Web-app testing process was described. Also, WAF purposes and goals was overviewed. Described the most common web-app security methods for brute force, weak password recovery validation, XSS and SQL-Injection attacks. As a result of this work enhancement to the standard web-app security methods was developed. They are easy to implement, effective, reliable and efficient. All these properties allow developers to use them in new web-apps, or integrate them to the existing security systems.
Опис: Удосконалення стандартних методів захисту веб-додатків // Дипломна робота ОР «Магістр» // Степанов Андрій В’ячеславович // Тернопільський національний технічний університет імені Івана Пулюя, факультет комп’ютерно-інформаційних систем і програмної інженерії, кафедра кібербезпеки, група СБм-61 // Тернопіль, 2021 // С. 87 , рис. – 27 , табл. – , слайдів – 12 , додат. – 1 .
Зміст: ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ... 8 ВСТУП... 9 РОЗДІЛ 1 ТЕСТУВАННЯ WEB-ДОДАТКІВ НА ВРАЗЛИВОСТІ... 12 1.1 Процес роботи веб-додатку... 12 1.2 Вразливості та їх вплив на безпеку бізнесу... 13 1.3 Стан безпеки веб додатків... 15 1.4 Короткий огляд найпоширеніших вразливостей web-додатків... 18 1.5 Тестування безпеки веб-додатків... 19 1.5.1 Актуальність тестування веб-додатків... 19 1.5.2 Процес тестування веб-додатків ... 21 1.5.3 Типи тестів безпеки веб-додатків ... 22 1.6 Web application firewall (WAF)... 23 РОЗДІЛ 2 СТАНДАРТНІ МЕТОДИ ЗАХИСТУ ВІД НАЙПОШИРЕНІШИХ ТИПІВ АТАК... 25 2.1 Підбір (brute-force attack)...27 2.1.1 Опис атаки... 27 2.2.2 Найпоширеніші методи захисту... 29 2.2 Слабка валідація відновлення пароля... 30 2.2.1 Опис атаки... 30 2.2.2 Найпоширеніші методи захисту... 30 2.3 Cross-site scripting (XSS) ... 31 2.3.1 Опис атаки ... 31 2.3.2 Найпоширеніші методи захисту... 32 2.4 SQL/No-SQL ін’єкції... 34 2.4. 1. Опис атаки... 34 2.4.2. Найпоширеніші методи захисту... 36 РОЗДІЛ 3 УДОСКОНАЛЕННЯ СТАНДАРТНИХ МЕТОДІВ ЗАХИСТУ ... 38 3.1 Удосконалення стандартних методів захисту проти атаки підбору (brute force) ... 38 3.1.1 Використання вайтліста ... 39 3.1.2 Зміна адреси сторінки ... 42 3.1.3 Використання 256-бітних ключів шифрування ... 43 3.2 Удосконалення стандартних методів захисту проти слабкої валідації відновлення пароля ... 43 3.2.1 Збільшення кількості питань ... 44 3.2.2 Використання пін-коду... 49 3.2.3 Додавання прив’язки до часу та користувача ... 51 3.3 Удосконалення стандартних методів захисту від XSS... 57 3.3.1 Використання сучасних фреймворків та бібліотек для побудови користувацьких інтерфейсів... 57 3.3.2 Дезінфекція даних, що будуть додані в CSS в якості URL атрибуту... 59 3.3.3 Дезінфекція даних при використанні element.innerHTML, element.outerHTML, document.write(...) та їх еквівалентів. ... 63 3.4 Удосконалення стандартних засобів захисту від SQL-ін’єкцій... 66 3.4.1 Приведення до цілочисельного типу... 67 3.4.2 Використання білих списків ... 71 РОЗДІЛ 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 76 4.1 Охорона праці .... 76 4.2 Підвищення стійкості роботи огд об’єктів госп діяльності у воєнний час ... 78 ВИСНОВКИ .... 85 СПИСОК ЛІТЕРАТУРИ... 86 ДОДАТКИ
URI (Уніфікований ідентифікатор ресурсу): http://elartu.tntu.edu.ua/handle/lib/36798
Власник авторського права: © Степанов Андрій В'ячеславович, 2021
Перелік літератури: 1. https://www.acunetix.com/white-papers/acunetix-web-application-vulnerability-report-2021/?#web-server-vulnerabilities-and-misconfigurations
2. Паперовський Б. О. Аналіз сучасних методів виявлення аномалій та можливих вторгнень в роботі комп’ютерної системи / Б. Паперовський, Н. Загородна // Матеріали Ⅵ науково-технічної конференції „Інформаційні моделі, системи та технології“, 12-13 грудня 2018 року. — Т. : ТНТУ, 2018. — С. 49. — (Інформаційні системи та технології).
3. Яциковська У. Вплив атак на відмову в обслуговуванні на комп’ютерні мережі / У. Яциковська, Я. Кінах // Матеріали Ⅳ науково-технічної конференції „Інформаційні моделі, системи та технології“, 15-16 травня 2014 року — Т. : ТНТУ, 2014 — С. 49. — (Безпека інфокомунікацій).
4. Карпінський М. П. Методи безпечної роботи при використанні SQL-сервера ORACLE / Карпінський М.П., Сальніков М. // Вісник Тернопільського державного технічного університету , 2002 — том 7. — c.95-100
5. Методологія та технологія створення складних програмних систем : Навчально-методичний посібник / . — Тернопіль : ТНТУ , 2017 — 40 с.
6. Яциковська У. О. Механізм захисту від атак на відмову / Уляна Олегівна Яциковська, М. Карпінський, Ярослав Ігорович Кінах // Матеріали Ⅱ науково-технічної конференції „Інформаційні моделі, системи та технології“, 25 квітня 2012 року — Т. : ТНТУ, 2012 — С. 38. — (Секція 3. Комп’ютерні системи та мережі).
7. https://beaglesecurity.com/blog/article/how-to-improve-web-application-security.html
8. https://owasp.org/www-community/attacks/xss/
9. https://www.cloudflare.com/learning/security/what-is-web-application-security/
10. https://www.offensive-security.com/metasploit-unleashed/client-side-attacks/
11. https://www.cloudflare.com/learning/bots/brute-force-attack/
12. https://www.imperva.com/learn/application-security/application-security/
13. https://www.synopsys.com/glossary/what-is-web-application-security.html
14. https://www.azoft.ru/blog/spa-mpa-pwa
Тип вмісту: Master Thesis
Розташовується у зібраннях:125 — кібербезпека

Файли цього матеріалу:
Файл Опис РозмірФормат 
Dyplom_Stepanov_A_V_2021.pdfКваліфікаційна робота магістра2,15 MBAdobe PDFПереглянути/відкрити
avtorska_dov_Stepanov_A_V_2021.pdfАвторська довідка333,54 kBAdobe PDFПереглянути/відкрити
Показати повний опис матеріалу Перегляд статистики


Усі матеріали в архіві електронних ресурсів захищені авторським правом, всі права збережені.

Інструменти адміністратора