Použijte tento identifikátor k citaci nebo jako odkaz na tento záznam:
http://elartu.tntu.edu.ua/handle/lib/36798Full metadata record
| DC pole | Hodnota | Jazyk |
|---|---|---|
| dc.contributor.advisor | Карпінський, Микола Петрович | - |
| dc.contributor.advisor | Karpinski, Mikolaj | - |
| dc.contributor.author | Степанов, Андрій В’ячеславович | - |
| dc.contributor.author | Stepanov, Andrii | - |
| dc.date.accessioned | 2021-12-24T12:08:55Z | - |
| dc.date.available | 2021-12-24T12:08:55Z | - |
| dc.date.issued | 2021-12-23 | - |
| dc.identifier.citation | Степанов А. В. Удосконалення стандартних методів захисту веб-додатків : кваліфікаційна робота магістра за спеціальністю „125 — кібербезпека“ / А. В. Степанов. — Тернопіль: ТНТУ, 2021. — 87 с. | uk_UA |
| dc.identifier.uri | http://elartu.tntu.edu.ua/handle/lib/36798 | - |
| dc.description | Удосконалення стандартних методів захисту веб-додатків // Дипломна робота ОР «Магістр» // Степанов Андрій В’ячеславович // Тернопільський національний технічний університет імені Івана Пулюя, факультет комп’ютерно-інформаційних систем і програмної інженерії, кафедра кібербезпеки, група СБм-61 // Тернопіль, 2021 // С. 87 , рис. – 27 , табл. – , слайдів – 12 , додат. – 1 . | uk_UA |
| dc.description.abstract | В роботі було проведено огляд літературних джерел в області дослідження. Здійснено огляд загального стану безпеки та вразливостей веб-додатків. Описано процес тестування безпеки веб-додатка. Також, здійснено огляд використання WAF. Описано, найпоширеніші способи захисту веб-додатків від підбору, слабкої валідації відновлення пароля, XSS та SQL-ін’єкцій. У результаті виконання дипломної роботи, були розроблені удосконалення, які є простими в реалізації, ефективними, надійними та продуктивними, що дозволяє використовувати їх при розробці нових додатків, або інтегрувати їх, як удоконалення, до вже наявних механізмів захисту додатка. | uk_UA |
| dc.description.abstract | The paper reviews literature sources in the field of research. A comparative analysis of the general state of security and vulnerabilities of the web-apps is conducted. The Web-app testing process was described. Also, WAF purposes and goals was overviewed. Described the most common web-app security methods for brute force, weak password recovery validation, XSS and SQL-Injection attacks. As a result of this work enhancement to the standard web-app security methods was developed. They are easy to implement, effective, reliable and efficient. All these properties allow developers to use them in new web-apps, or integrate them to the existing security systems. | uk_UA |
| dc.description.tableofcontents | ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ... 8 ВСТУП... 9 РОЗДІЛ 1 ТЕСТУВАННЯ WEB-ДОДАТКІВ НА ВРАЗЛИВОСТІ... 12 1.1 Процес роботи веб-додатку... 12 1.2 Вразливості та їх вплив на безпеку бізнесу... 13 1.3 Стан безпеки веб додатків... 15 1.4 Короткий огляд найпоширеніших вразливостей web-додатків... 18 1.5 Тестування безпеки веб-додатків... 19 1.5.1 Актуальність тестування веб-додатків... 19 1.5.2 Процес тестування веб-додатків ... 21 1.5.3 Типи тестів безпеки веб-додатків ... 22 1.6 Web application firewall (WAF)... 23 РОЗДІЛ 2 СТАНДАРТНІ МЕТОДИ ЗАХИСТУ ВІД НАЙПОШИРЕНІШИХ ТИПІВ АТАК... 25 2.1 Підбір (brute-force attack)...27 2.1.1 Опис атаки... 27 2.2.2 Найпоширеніші методи захисту... 29 2.2 Слабка валідація відновлення пароля... 30 2.2.1 Опис атаки... 30 2.2.2 Найпоширеніші методи захисту... 30 2.3 Cross-site scripting (XSS) ... 31 2.3.1 Опис атаки ... 31 2.3.2 Найпоширеніші методи захисту... 32 2.4 SQL/No-SQL ін’єкції... 34 2.4. 1. Опис атаки... 34 2.4.2. Найпоширеніші методи захисту... 36 РОЗДІЛ 3 УДОСКОНАЛЕННЯ СТАНДАРТНИХ МЕТОДІВ ЗАХИСТУ ... 38 3.1 Удосконалення стандартних методів захисту проти атаки підбору (brute force) ... 38 3.1.1 Використання вайтліста ... 39 3.1.2 Зміна адреси сторінки ... 42 3.1.3 Використання 256-бітних ключів шифрування ... 43 3.2 Удосконалення стандартних методів захисту проти слабкої валідації відновлення пароля ... 43 3.2.1 Збільшення кількості питань ... 44 3.2.2 Використання пін-коду... 49 3.2.3 Додавання прив’язки до часу та користувача ... 51 3.3 Удосконалення стандартних методів захисту від XSS... 57 3.3.1 Використання сучасних фреймворків та бібліотек для побудови користувацьких інтерфейсів... 57 3.3.2 Дезінфекція даних, що будуть додані в CSS в якості URL атрибуту... 59 3.3.3 Дезінфекція даних при використанні element.innerHTML, element.outerHTML, document.write(...) та їх еквівалентів. ... 63 3.4 Удосконалення стандартних засобів захисту від SQL-ін’єкцій... 66 3.4.1 Приведення до цілочисельного типу... 67 3.4.2 Використання білих списків ... 71 РОЗДІЛ 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 76 4.1 Охорона праці .... 76 4.2 Підвищення стійкості роботи огд об’єктів госп діяльності у воєнний час ... 78 ВИСНОВКИ .... 85 СПИСОК ЛІТЕРАТУРИ... 86 ДОДАТКИ | uk_UA |
| dc.language.iso | uk | uk_UA |
| dc.publisher | ТНТУ | uk_UA |
| dc.subject | 125 | uk_UA |
| dc.subject | кібербезпека | uk_UA |
| dc.subject | web-додаток | uk_UA |
| dc.subject | стандартні засоби захисту | uk_UA |
| dc.subject | вразливість | uk_UA |
| dc.subject | перебір | uk_UA |
| dc.subject | валідація | uk_UA |
| dc.subject | тестування | uk_UA |
| dc.subject | WAF | uk_UA |
| dc.subject | XSS | uk_UA |
| dc.subject | SQL-ін’єкція | uk_UA |
| dc.subject | web-application | uk_UA |
| dc.subject | standard methods of web-app protection | uk_UA |
| dc.subject | vulnerability | uk_UA |
| dc.subject | brute force | uk_UA |
| dc.subject | validation, testing | uk_UA |
| dc.subject | SQL-injection | uk_UA |
| dc.title | Удосконалення стандартних методів захисту веб-додатків | uk_UA |
| dc.title.alternative | Study and improvement of standard methods of web-applications protection | uk_UA |
| dc.type | Master Thesis | uk_UA |
| dc.rights.holder | © Степанов Андрій В'ячеславович, 2021 | uk_UA |
| dc.contributor.committeeMember | Лещишин, Юрій Зіновійович | - |
| dc.contributor.committeeMember | Leshchyshyn, Yuriy | - |
| dc.coverage.placename | Тернопіль | uk_UA |
| dc.format.pages | 87 | - |
| dc.subject.udc | 004.056 | uk_UA |
| dc.relation.references | 1. https://www.acunetix.com/white-papers/acunetix-web-application-vulnerability-report-2021/?#web-server-vulnerabilities-and-misconfigurations | uk_UA |
| dc.relation.references | 2. Паперовський Б. О. Аналіз сучасних методів виявлення аномалій та можливих вторгнень в роботі комп’ютерної системи / Б. Паперовський, Н. Загородна // Матеріали Ⅵ науково-технічної конференції „Інформаційні моделі, системи та технології“, 12-13 грудня 2018 року. — Т. : ТНТУ, 2018. — С. 49. — (Інформаційні системи та технології). | uk_UA |
| dc.relation.references | 3. Яциковська У. Вплив атак на відмову в обслуговуванні на комп’ютерні мережі / У. Яциковська, Я. Кінах // Матеріали Ⅳ науково-технічної конференції „Інформаційні моделі, системи та технології“, 15-16 травня 2014 року — Т. : ТНТУ, 2014 — С. 49. — (Безпека інфокомунікацій). | uk_UA |
| dc.relation.references | 4. Карпінський М. П. Методи безпечної роботи при використанні SQL-сервера ORACLE / Карпінський М.П., Сальніков М. // Вісник Тернопільського державного технічного університету , 2002 — том 7. — c.95-100 | uk_UA |
| dc.relation.references | 5. Методологія та технологія створення складних програмних систем : Навчально-методичний посібник / . — Тернопіль : ТНТУ , 2017 — 40 с. | uk_UA |
| dc.relation.references | 6. Яциковська У. О. Механізм захисту від атак на відмову / Уляна Олегівна Яциковська, М. Карпінський, Ярослав Ігорович Кінах // Матеріали Ⅱ науково-технічної конференції „Інформаційні моделі, системи та технології“, 25 квітня 2012 року — Т. : ТНТУ, 2012 — С. 38. — (Секція 3. Комп’ютерні системи та мережі). | uk_UA |
| dc.relation.references | 7. https://beaglesecurity.com/blog/article/how-to-improve-web-application-security.html | uk_UA |
| dc.relation.references | 8. https://owasp.org/www-community/attacks/xss/ | uk_UA |
| dc.relation.references | 9. https://www.cloudflare.com/learning/security/what-is-web-application-security/ | uk_UA |
| dc.relation.references | 10. https://www.offensive-security.com/metasploit-unleashed/client-side-attacks/ | uk_UA |
| dc.relation.references | 11. https://www.cloudflare.com/learning/bots/brute-force-attack/ | uk_UA |
| dc.relation.references | 12. https://www.imperva.com/learn/application-security/application-security/ | uk_UA |
| dc.relation.references | 13. https://www.synopsys.com/glossary/what-is-web-application-security.html | uk_UA |
| dc.relation.references | 14. https://www.azoft.ru/blog/spa-mpa-pwa | uk_UA |
| dc.contributor.affiliation | Тернопільський національний технічний університет імені Івана Пулюя | uk_UA |
| dc.coverage.country | UA | uk_UA |
| Vyskytuje se v kolekcích: | 125 — кібербезпека, Кібербезпека та захист інформації | |
Soubory připojené k záznamu:
| Soubor | Popis | Velikost | Formát | |
|---|---|---|---|---|
| Dyplom_Stepanov_A_V_2021.pdf | Кваліфікаційна робота магістра | 2,15 MB | Adobe PDF | Zobrazit/otevřít |
| avtorska_dov_Stepanov_A_V_2021.pdf | Авторська довідка | 333,54 kB | Adobe PDF | Zobrazit/otevřít |
Všechny záznamy v DSpace jsou chráněny autorskými právy, všechna práva vyhrazena.
Nástroje administrátora