1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека
このアイテムの引用には次の識別子を使用してください: http://elartu.tntu.edu.ua/handle/lib/36798
タイトル: Удосконалення стандартних методів захисту веб-додатків
その他のタイトル: Study and improvement of standard methods of web-applications protection
著者: Степанов, Андрій В’ячеславович
Stepanov, Andrii
Affiliation: Тернопільський національний технічний університет імені Івана Пулюя
Bibliographic description (Ukraine): Степанов А. В. Удосконалення стандартних методів захисту веб-додатків : кваліфікаційна робота магістра за спеціальністю „125 — кібербезпека“ / А. В. Степанов. — Тернопіль: ТНТУ, 2021. — 87 с.
発行日: 23-12月-2021
Date of entry: 24-12月-2021
出版者: ТНТУ
Country (code): UA
Place of the edition/event: Тернопіль
Supervisor: Карпінський, Микола Петрович
Karpinski, Mikolaj
Committee members: Лещишин, Юрій Зіновійович
Leshchyshyn, Yuriy
UDC: 004.056
キーワード: 125
кібербезпека
web-додаток
стандартні засоби захисту
вразливість
перебір
валідація
тестування
WAF
XSS
SQL-ін’єкція
web-application
standard methods of web-app protection
vulnerability
brute force
validation, testing
SQL-injection
Number of pages: 87
抄録: В роботі було проведено огляд літературних джерел в області дослідження. Здійснено огляд загального стану безпеки та вразливостей веб-додатків. Описано процес тестування безпеки веб-додатка. Також, здійснено огляд використання WAF. Описано, найпоширеніші способи захисту веб-додатків від підбору, слабкої валідації відновлення пароля, XSS та SQL-ін’єкцій. У результаті виконання дипломної роботи, були розроблені удосконалення, які є простими в реалізації, ефективними, надійними та продуктивними, що дозволяє використовувати їх при розробці нових додатків, або інтегрувати їх, як удоконалення, до вже наявних механізмів захисту додатка.
The paper reviews literature sources in the field of research. A comparative analysis of the general state of security and vulnerabilities of the web-apps is conducted. The Web-app testing process was described. Also, WAF purposes and goals was overviewed. Described the most common web-app security methods for brute force, weak password recovery validation, XSS and SQL-Injection attacks. As a result of this work enhancement to the standard web-app security methods was developed. They are easy to implement, effective, reliable and efficient. All these properties allow developers to use them in new web-apps, or integrate them to the existing security systems.
記述: Удосконалення стандартних методів захисту веб-додатків // Дипломна робота ОР «Магістр» // Степанов Андрій В’ячеславович // Тернопільський національний технічний університет імені Івана Пулюя, факультет комп’ютерно-інформаційних систем і програмної інженерії, кафедра кібербезпеки, група СБм-61 // Тернопіль, 2021 // С. 87 , рис. – 27 , табл. – , слайдів – 12 , додат. – 1 .
Content: ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ... 8 ВСТУП... 9 РОЗДІЛ 1 ТЕСТУВАННЯ WEB-ДОДАТКІВ НА ВРАЗЛИВОСТІ... 12 1.1 Процес роботи веб-додатку... 12 1.2 Вразливості та їх вплив на безпеку бізнесу... 13 1.3 Стан безпеки веб додатків... 15 1.4 Короткий огляд найпоширеніших вразливостей web-додатків... 18 1.5 Тестування безпеки веб-додатків... 19 1.5.1 Актуальність тестування веб-додатків... 19 1.5.2 Процес тестування веб-додатків ... 21 1.5.3 Типи тестів безпеки веб-додатків ... 22 1.6 Web application firewall (WAF)... 23 РОЗДІЛ 2 СТАНДАРТНІ МЕТОДИ ЗАХИСТУ ВІД НАЙПОШИРЕНІШИХ ТИПІВ АТАК... 25 2.1 Підбір (brute-force attack)...27 2.1.1 Опис атаки... 27 2.2.2 Найпоширеніші методи захисту... 29 2.2 Слабка валідація відновлення пароля... 30 2.2.1 Опис атаки... 30 2.2.2 Найпоширеніші методи захисту... 30 2.3 Cross-site scripting (XSS) ... 31 2.3.1 Опис атаки ... 31 2.3.2 Найпоширеніші методи захисту... 32 2.4 SQL/No-SQL ін’єкції... 34 2.4. 1. Опис атаки... 34 2.4.2. Найпоширеніші методи захисту... 36 РОЗДІЛ 3 УДОСКОНАЛЕННЯ СТАНДАРТНИХ МЕТОДІВ ЗАХИСТУ ... 38 3.1 Удосконалення стандартних методів захисту проти атаки підбору (brute force) ... 38 3.1.1 Використання вайтліста ... 39 3.1.2 Зміна адреси сторінки ... 42 3.1.3 Використання 256-бітних ключів шифрування ... 43 3.2 Удосконалення стандартних методів захисту проти слабкої валідації відновлення пароля ... 43 3.2.1 Збільшення кількості питань ... 44 3.2.2 Використання пін-коду... 49 3.2.3 Додавання прив’язки до часу та користувача ... 51 3.3 Удосконалення стандартних методів захисту від XSS... 57 3.3.1 Використання сучасних фреймворків та бібліотек для побудови користувацьких інтерфейсів... 57 3.3.2 Дезінфекція даних, що будуть додані в CSS в якості URL атрибуту... 59 3.3.3 Дезінфекція даних при використанні element.innerHTML, element.outerHTML, document.write(...) та їх еквівалентів. ... 63 3.4 Удосконалення стандартних засобів захисту від SQL-ін’єкцій... 66 3.4.1 Приведення до цілочисельного типу... 67 3.4.2 Використання білих списків ... 71 РОЗДІЛ 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 76 4.1 Охорона праці .... 76 4.2 Підвищення стійкості роботи огд об’єктів госп діяльності у воєнний час ... 78 ВИСНОВКИ .... 85 СПИСОК ЛІТЕРАТУРИ... 86 ДОДАТКИ
URI: http://elartu.tntu.edu.ua/handle/lib/36798
Copyright owner: © Степанов Андрій В'ячеславович, 2021
References (Ukraine): 1. https://www.acunetix.com/white-papers/acunetix-web-application-vulnerability-report-2021/?#web-server-vulnerabilities-and-misconfigurations
2. Паперовський Б. О. Аналіз сучасних методів виявлення аномалій та можливих вторгнень в роботі комп’ютерної системи / Б. Паперовський, Н. Загородна // Матеріали Ⅵ науково-технічної конференції „Інформаційні моделі, системи та технології“, 12-13 грудня 2018 року. — Т. : ТНТУ, 2018. — С. 49. — (Інформаційні системи та технології).
3. Яциковська У. Вплив атак на відмову в обслуговуванні на комп’ютерні мережі / У. Яциковська, Я. Кінах // Матеріали Ⅳ науково-технічної конференції „Інформаційні моделі, системи та технології“, 15-16 травня 2014 року — Т. : ТНТУ, 2014 — С. 49. — (Безпека інфокомунікацій).
4. Карпінський М. П. Методи безпечної роботи при використанні SQL-сервера ORACLE / Карпінський М.П., Сальніков М. // Вісник Тернопільського державного технічного університету , 2002 — том 7. — c.95-100
5. Методологія та технологія створення складних програмних систем : Навчально-методичний посібник / . — Тернопіль : ТНТУ , 2017 — 40 с.
6. Яциковська У. О. Механізм захисту від атак на відмову / Уляна Олегівна Яциковська, М. Карпінський, Ярослав Ігорович Кінах // Матеріали Ⅱ науково-технічної конференції „Інформаційні моделі, системи та технології“, 25 квітня 2012 року — Т. : ТНТУ, 2012 — С. 38. — (Секція 3. Комп’ютерні системи та мережі).
7. https://beaglesecurity.com/blog/article/how-to-improve-web-application-security.html
8. https://owasp.org/www-community/attacks/xss/
9. https://www.cloudflare.com/learning/security/what-is-web-application-security/
10. https://www.offensive-security.com/metasploit-unleashed/client-side-attacks/
11. https://www.cloudflare.com/learning/bots/brute-force-attack/
12. https://www.imperva.com/learn/application-security/application-security/
13. https://www.synopsys.com/glossary/what-is-web-application-security.html
14. https://www.azoft.ru/blog/spa-mpa-pwa
Content type: Master Thesis
出現コレクション:125 — кібербезпека

このアイテムのファイル:
ファイル 記述 サイズフォーマット 
Dyplom_Stepanov_A_V_2021.pdfКваліфікаційна робота магістра2,15 MBAdobe PDF見る/開く
avtorska_dov_Stepanov_A_V_2021.pdfАвторська довідка333,54 kBAdobe PDF見る/開く
アイテムの詳細レコードを表示する


このリポジトリに保管されているアイテムはすべて著作権により保護されています。

管理ツール