Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал:
http://elartu.tntu.edu.ua/handle/lib/36798
Назва: | Удосконалення стандартних методів захисту веб-додатків |
Інші назви: | Study and improvement of standard methods of web-applications protection |
Автори: | Степанов, Андрій В’ячеславович Stepanov, Andrii |
Приналежність: | Тернопільський національний технічний університет імені Івана Пулюя |
Бібліографічний опис: | Степанов А. В. Удосконалення стандартних методів захисту веб-додатків : кваліфікаційна робота магістра за спеціальністю „125 — кібербезпека“ / А. В. Степанов. — Тернопіль: ТНТУ, 2021. — 87 с. |
Дата публікації: | 23-гру-2021 |
Дата внесення: | 24-гру-2021 |
Видавництво: | ТНТУ |
Країна (код): | UA |
Місце видання, проведення: | Тернопіль |
Науковий керівник: | Карпінський, Микола Петрович Karpinski, Mikolaj |
Члени комітету: | Лещишин, Юрій Зіновійович Leshchyshyn, Yuriy |
УДК: | 004.056 |
Теми: | 125 кібербезпека web-додаток стандартні засоби захисту вразливість перебір валідація тестування WAF XSS SQL-ін’єкція web-application standard methods of web-app protection vulnerability brute force validation, testing SQL-injection |
Кількість сторінок: | 87 |
Короткий огляд (реферат): | В роботі було проведено огляд літературних джерел в області дослідження. Здійснено огляд загального стану безпеки та вразливостей веб-додатків. Описано процес тестування безпеки веб-додатка. Також, здійснено огляд використання WAF. Описано, найпоширеніші способи захисту веб-додатків від підбору, слабкої валідації відновлення пароля, XSS та SQL-ін’єкцій.
У результаті виконання дипломної роботи, були розроблені удосконалення, які є простими в реалізації, ефективними, надійними та продуктивними, що дозволяє використовувати їх при розробці нових додатків, або інтегрувати їх, як удоконалення, до вже наявних механізмів захисту додатка. The paper reviews literature sources in the field of research. A comparative analysis of the general state of security and vulnerabilities of the web-apps is conducted. The Web-app testing process was described. Also, WAF purposes and goals was overviewed. Described the most common web-app security methods for brute force, weak password recovery validation, XSS and SQL-Injection attacks. As a result of this work enhancement to the standard web-app security methods was developed. They are easy to implement, effective, reliable and efficient. All these properties allow developers to use them in new web-apps, or integrate them to the existing security systems. |
Опис: | Удосконалення стандартних методів захисту веб-додатків // Дипломна робота ОР «Магістр» // Степанов Андрій В’ячеславович // Тернопільський національний технічний університет імені Івана Пулюя, факультет комп’ютерно-інформаційних систем і програмної інженерії, кафедра кібербезпеки, група СБм-61 // Тернопіль, 2021 // С. 87 , рис. – 27 , табл. – , слайдів – 12 , додат. – 1 . |
Зміст: | ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ... 8 ВСТУП... 9 РОЗДІЛ 1 ТЕСТУВАННЯ WEB-ДОДАТКІВ НА ВРАЗЛИВОСТІ... 12 1.1 Процес роботи веб-додатку... 12 1.2 Вразливості та їх вплив на безпеку бізнесу... 13 1.3 Стан безпеки веб додатків... 15 1.4 Короткий огляд найпоширеніших вразливостей web-додатків... 18 1.5 Тестування безпеки веб-додатків... 19 1.5.1 Актуальність тестування веб-додатків... 19 1.5.2 Процес тестування веб-додатків ... 21 1.5.3 Типи тестів безпеки веб-додатків ... 22 1.6 Web application firewall (WAF)... 23 РОЗДІЛ 2 СТАНДАРТНІ МЕТОДИ ЗАХИСТУ ВІД НАЙПОШИРЕНІШИХ ТИПІВ АТАК... 25 2.1 Підбір (brute-force attack)...27 2.1.1 Опис атаки... 27 2.2.2 Найпоширеніші методи захисту... 29 2.2 Слабка валідація відновлення пароля... 30 2.2.1 Опис атаки... 30 2.2.2 Найпоширеніші методи захисту... 30 2.3 Cross-site scripting (XSS) ... 31 2.3.1 Опис атаки ... 31 2.3.2 Найпоширеніші методи захисту... 32 2.4 SQL/No-SQL ін’єкції... 34 2.4. 1. Опис атаки... 34 2.4.2. Найпоширеніші методи захисту... 36 РОЗДІЛ 3 УДОСКОНАЛЕННЯ СТАНДАРТНИХ МЕТОДІВ ЗАХИСТУ ... 38 3.1 Удосконалення стандартних методів захисту проти атаки підбору (brute force) ... 38 3.1.1 Використання вайтліста ... 39 3.1.2 Зміна адреси сторінки ... 42 3.1.3 Використання 256-бітних ключів шифрування ... 43 3.2 Удосконалення стандартних методів захисту проти слабкої валідації відновлення пароля ... 43 3.2.1 Збільшення кількості питань ... 44 3.2.2 Використання пін-коду... 49 3.2.3 Додавання прив’язки до часу та користувача ... 51 3.3 Удосконалення стандартних методів захисту від XSS... 57 3.3.1 Використання сучасних фреймворків та бібліотек для побудови користувацьких інтерфейсів... 57 3.3.2 Дезінфекція даних, що будуть додані в CSS в якості URL атрибуту... 59 3.3.3 Дезінфекція даних при використанні element.innerHTML, element.outerHTML, document.write(...) та їх еквівалентів. ... 63 3.4 Удосконалення стандартних засобів захисту від SQL-ін’єкцій... 66 3.4.1 Приведення до цілочисельного типу... 67 3.4.2 Використання білих списків ... 71 РОЗДІЛ 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 76 4.1 Охорона праці .... 76 4.2 Підвищення стійкості роботи огд об’єктів госп діяльності у воєнний час ... 78 ВИСНОВКИ .... 85 СПИСОК ЛІТЕРАТУРИ... 86 ДОДАТКИ |
URI (Уніфікований ідентифікатор ресурсу): | http://elartu.tntu.edu.ua/handle/lib/36798 |
Власник авторського права: | © Степанов Андрій В'ячеславович, 2021 |
Перелік літератури: | 1. https://www.acunetix.com/white-papers/acunetix-web-application-vulnerability-report-2021/?#web-server-vulnerabilities-and-misconfigurations 2. Паперовський Б. О. Аналіз сучасних методів виявлення аномалій та можливих вторгнень в роботі комп’ютерної системи / Б. Паперовський, Н. Загородна // Матеріали Ⅵ науково-технічної конференції „Інформаційні моделі, системи та технології“, 12-13 грудня 2018 року. — Т. : ТНТУ, 2018. — С. 49. — (Інформаційні системи та технології). 3. Яциковська У. Вплив атак на відмову в обслуговуванні на комп’ютерні мережі / У. Яциковська, Я. Кінах // Матеріали Ⅳ науково-технічної конференції „Інформаційні моделі, системи та технології“, 15-16 травня 2014 року — Т. : ТНТУ, 2014 — С. 49. — (Безпека інфокомунікацій). 4. Карпінський М. П. Методи безпечної роботи при використанні SQL-сервера ORACLE / Карпінський М.П., Сальніков М. // Вісник Тернопільського державного технічного університету , 2002 — том 7. — c.95-100 5. Методологія та технологія створення складних програмних систем : Навчально-методичний посібник / . — Тернопіль : ТНТУ , 2017 — 40 с. 6. Яциковська У. О. Механізм захисту від атак на відмову / Уляна Олегівна Яциковська, М. Карпінський, Ярослав Ігорович Кінах // Матеріали Ⅱ науково-технічної конференції „Інформаційні моделі, системи та технології“, 25 квітня 2012 року — Т. : ТНТУ, 2012 — С. 38. — (Секція 3. Комп’ютерні системи та мережі). 7. https://beaglesecurity.com/blog/article/how-to-improve-web-application-security.html 8. https://owasp.org/www-community/attacks/xss/ 9. https://www.cloudflare.com/learning/security/what-is-web-application-security/ 10. https://www.offensive-security.com/metasploit-unleashed/client-side-attacks/ 11. https://www.cloudflare.com/learning/bots/brute-force-attack/ 12. https://www.imperva.com/learn/application-security/application-security/ 13. https://www.synopsys.com/glossary/what-is-web-application-security.html 14. https://www.azoft.ru/blog/spa-mpa-pwa |
Тип вмісту: | Master Thesis |
Розташовується у зібраннях: | 125 — кібербезпека |
Файли цього матеріалу:
Файл | Опис | Розмір | Формат | |
---|---|---|---|---|
Dyplom_Stepanov_A_V_2021.pdf | Кваліфікаційна робота магістра | 2,15 MB | Adobe PDF | Переглянути/відкрити |
avtorska_dov_Stepanov_A_V_2021.pdf | Авторська довідка | 333,54 kB | Adobe PDF | Переглянути/відкрити |
Усі матеріали в архіві електронних ресурсів захищені авторським правом, всі права збережені.
Інструменти адміністратора