1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека
Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал: http://elartu.tntu.edu.ua/handle/lib/36972
Назва: Розробка програмного продукту для аналізу рівня вразливості сайту до XSS-атак
Інші назви: Software development for the site vulnerability analysis against XSS-attacks
Автори: Рій, Ярослав Васильович
Rii, Yaroslav
Приналежність: Тернопільський національний технічний університет імені Івана Пулюя
Бібліографічний опис: Рій Я. В. Розробка програмного продукту для аналізу рівня вразливості сайту до XSS-атак : кваліфікаційна робота магістра за спеціальністю „125 — кібербезпека“ / Я. В. Рій. — Тернопіль: ТНТУ, 2021. — 57с.
Дата публікації: 23-гру-2021
Дата внесення: 29-гру-2021
Видавництво: ТНТУ
Країна (код): UA
Місце видання, проведення: Тернопіль
Науковий керівник: Марценюк, Василь Петрович
Martseiuk, Vasyl
Члени комітету: Матійчук, Любомир Павлович
Matiichuk, Lyubomyr
УДК: 004.056.53
Теми: 125
кібербезпека
XSS-атака
веб-вразливість
захист сайту
розробка програмного забезпечення
аналіз сайту
XSS-attack
web vulnerability
site protection
software development
site analysis
Кількість сторінок: 57
Короткий огляд (реферат): Мета роботи полягає у дослідженні способу програмної реалізації сканера вразливості сайту до XSS-атак та реалізація такого програмного продукту, а також розробка нової методики встановлення рівня вразливості сайту. Атаки міжсайтових скриптів (XSS) — це тип ін’єкції, під час якої шкідливі скрипти впроваджуються на безпечні й надійні веб-сайти. Атаки XSS відбуваються, коли зловмисник використовує веб-додаток для надсилання шкідливого коду, як правило, у формі скрипта браузера іншому кінцевому користувачеві. Недоліки, які дозволяють цим атакам досягати успіху, є досить поширеними і виникають у будь-якому місці, де веб-додаток використовує вхідні дані користувача для отримання результатів, не перевіряючи чи не кодуючи їх. В процесі виконання кваліфікаційної роботи було: досліджено способи проведення XSS-атак різних типів; розроблено методику обрахунку вразливості сайту до XSS-атак; програмно реалізовано сканер сайту.
The purpose of the work is to study the method of software implementation of the site vulnerability scanner to XSS-attacks and the implementation of such a software product, as well as the development of new methods for determining the level of site vulnerability. Cross-site scripting attacks (XSS) are a type of injection in which malicious scripts are deployed on secure and reliable websites. XSS attacks occur when an attacker uses a web application to send malicious code, usually in the form of a browser script to another end user. The shortcomings that allow these attacks to succeed are quite common and occur anywhere where a web application uses user input to produce results without checking or encoding them. In the process of performing the qualification work were: methods of conducting XSS-attacks of different types are investigated; developed a method of calculating the vulnerability of the site to XSS-attacks; software implemented site scanner.
Опис: Розробка програмного продукту для аналізу рівня вразливості сайту до XSS-атак // Кваліфікаційна робота // Рій Ярослав Васильович // ТНТУ, кібербезпека, група СБм-61 // Тернопіль, 2021 // с. – 57, рис. – 24, табл. – 1, аркушів А1 – 0, додат. – 2 , бібліогр. – 29.
Зміст: ВСТУП ... 7 1. Важливість захисту веб-ресурсів від XSS - атак ... 9 1.1. Поняття XSS – атаки ... 9 1.2. Передісторія XSS – атак ... 10 1.3. Типи XSS – атак ... 13 1.4. Що таке файли cookie? ... 15 1.5. Найпоширеніші типи cookies ... 16 2. Розробка методики визначення рівня вразливості до XSS-атак ... 19 2.1. Механізм проведення XSS-атак ... 19 2.2. Математична модель XSS-атаки... 25 2.3. Обчислення рівня небезпеки XSS-скрипта ... 34 3. Програмна реалізація сканера вразливості сайту до XSS-атак ... 37 3.1. Середовище програмування та вибір технологій ... 37 3.2. Формування скриптів для XSS-атак ... 38 3.3. Алгоритм сканування сайту ... 41 4. Охорона праці та безпека в надзвичайних ситуаціях ... 47 4.1. Охорона праці ... 47 4.2. Безпека в надзвичайних ситуаціях ... 49 ВИСНОВКИ ... 54 ПЕРЕЛІК ПОСИЛАНЬ ... 55 Додаток А ... 59 Додаток Б ... 61
URI (Уніфікований ідентифікатор ресурсу): http://elartu.tntu.edu.ua/handle/lib/36972
Власник авторського права: © Рій Ярослав Васильович, 2021
Перелік літератури: 1. D. A. Suju and G. M. Gandhi, “An automaton based approach for forestalling cross site scripting attacks in web application,” in 2015 Seventh International Conference on Advanced Computing (ICoAC), Dec. 2015, pp. 1–6. 2. D. Das, U. Sharma, and D. K. Bhattacharyya, “Detection of cross-site scripting attack under multiple scenarios,” The Computer Journal, vol. 58, no. 4, pp. 808–822, Apr. 2015. 3. IT-Digital. El 100% de las aplicaciones web contienen vulnerabilidades, [Електронний ресурс]. Available: http://discoverthenew.ituser.es/ security- and- risk-management/2018/04/el-100- de- las- aplicacionesweb- contienen-vulnerabilidades. (дата звернення: 10.09.2021) 4. H. Takahashi, K. Yasunaga, M. Mambo, K. Kim, and H. Y. Youm, “Preventing abuse of cookies stolen by xss,” in 2013 Eighth Asia Joint Conference on Information Security, Jul. 2013, pp. 85–89 5. Imperva. The state of web application vulnerabilities in 2017, [Електронний ресурс]. Available: https://www.imperva.com/blog/2017/12/thestate- of-web-application-vulnerabilities-in-2017/.(дата звернення: 10.09.2021) 6. PandaSecurity. Equifax no fue un caso aislado: El peligro de las web apps, [Електронний ресурс]. Available: https://www.pandasecurity.com/ spain/mediacenter/seguridad/equifax-y-peligro-de-las-web-apps/.(дата звернення: 10.09.2021) 7. J. Shanmugam and M. Ponnavaikko, “Xss application worms: New internet infestation and optimized protective measures,” in Eighth ACIS International Conference on Software Engineering, Artificial Intelligence, Networking, and Parallel/Distributed Computing (SNPD 2007), vol. 3, Jul. 2007, pp. 1164–1169. 56 8. J. Bozic and F. Wotawa, “Purity: A planning-based security testing tool,” in 2015 IEEE International Conference on Software Quality, Reliability and Security - Companion, Aug. 2015, pp. 46–55. 9. M. K. Gupta, M. C. Govil, and G. Singh, “Predicting cross-site scripting (xss) security vulnerabilities in web applications,” in 2015 12th International Joint Conference on Computer Science and Software Engineering (JCSSE), Jul. 2015, pp. 162–167.
10. Verizon. (Apr. 2018). 2017 data breach investigations report, [Електронний ресрурс]. Available: http://www.ictsecuritymagazine.com/wp- content/uploads/ 2017-Data-Breach-Investigations-Report.pdf. 11. SANS. Cwe/sans top 25 most dangerous software errors, [Електронний ресрурс]. Available: https://www.sans.org/top25-software-errors. (дата звернення: 12.09.2021) 12. CWE. Cwe-79: Improper neutralization of input during web page generation (’cross-site scripting’), [Електронний ресрурс]. Available: http: //cwe.mitre.org/top25/index.html#CWE-79. (дата звернення: 14.09.2021) 13. E. Kirda, C. Kruegel, G. Vigna, and N. Jovanovic, “Noxes: A client-side solution for mitigating cross-site scripting attacks,” in Proceedings of the 2006 ACM symposium on Applied computing, ACM, 2006, pp. 330–337. 14. I. Dacosta, S. Chakradeo, M. Ahamad, and P. Traynor, “One-time cookies: Preventing session hijacking attacks with stateless authentication tokens,” ACM Trans. Internet Technol., vol. 12, no. 1, 1:1–1:24, Jul. 2012, ISSN: 1533-5399. 15. GOOGLE. Desarrolle sus habilidades anal´ıticas, [Електронний ресрурс]. Available: https://www.google.es/analytics/learn/.(дата звернення: 15.09.2021) 16. S. Englehardt, D. Reisman, C. Eubank, P. Zimmerman, J. Mayer, A. Narayanan, and E. W. Felten, “Cookies that give you away: The surveillance implications of web tracking,” in Proceedings of the 24th International 57 Conference on World Wide Web, ser. WWW ’15, Florence, Italy, 2015, pp. 289–299, ISBN: 978-1-4503-3469-3. 17. Optanon. The cookie law explained, [Електронний ресрурс]. Available: https://www.cookielaw.org/the-cookie-law/.(дата звернення: 15.09.2021) 18. S. J. Murdoch, “Hardened stateless session cookies,” in Security Protocols XVI, B. Christianson, J. A. Malcolm, V. Matyas, and M. Roe, Eds., Berlin, Heidelberg: Springer Berlin Heidelberg, 2011, pp. 93–101. 19. Карабанов Ю. С. Способы противодействия программам вымогателям / Ю. С. Карабанов, В. О. Ки риленко, С. В. Диасамидзе // Транспорт : проблемы, идеи, перспективы : сб. трудов LXXVI Всерос. науч.-технич. конференции студентов, аспирантов и молодых ученых. – СПб. : ПГУПС, 2016. – С. 175.
20. Introduction to C# - GeeksforGeeks [Електронний ресурс]. Available: https://www.geeksforgeeks.org/introduction-to-c-sharp. 21. What is .NET Framework? A software development framework. [Електронний ресурс]. Available: https://dotnet.microsoft.com/en-us/learn/dotnet/what-is-dotnet-framework. (дата звернення: 16.09.2021) 22. What is Visual Studio? – Incredibuild [Електронний ресурс]. Available: https://www.incredibuild.com/integrations/visual-studio. (дата звернення: 13.10.2021) 23. Cross-Site Scripting (XSS) Cheat Sheet - 2021 Edition | Web Security Academy [Електронний ресурс]. Available: https://portswigger.net/web-security/cross-site-scripting/cheat-sheet. (дата звернення: 13.10.2021) 24. НПАОП 0.00-7.15-18 «Вимоги щодо безпеки та захисту здоров’я працівників під час роботи з екранними пристроями». Київ. 2018. 25. ДСанПіН 3.3.2.007-98. Державні санітарні правила і норми роботи з візуальними дисплейними терміналами електронно-обчислювальних машин. 58 26. Рій Я. В. Розробка програмного продукту для аналізу рівня вразливості сайту до xss-атак: Матеріали ІX наук.-техн. конф. ТНТУ ім. І.Пулюя (8-9 грудня 2021). Тернопіль, 2021. с. 72. 27. Дмитришин С. Захист web-сервісів від XSS / Дмитришин С. // Матеріали Ⅹ студентської науково-технічної конференції „Природничі та гуманітарні науки. Актуальні питання“, 18-19 квітня 2007 року — Т. : ТДТУ, 2007 — С. 120. — (Інформаційні технології). 28. Свирида А. В. Дослідження методів несанкціонованого доступу до інформації веб-сайтів та способи захисту від них / Свирида А. В. // Збірник тез Ⅹ Всеукраїнської студентської науково-технічної конференції „Природничі та гуманітарні науки. Актуальні питання“, 25-26 квітня 2017 року. — Т. : ТНТУ, 2017. — Том 1. — С. 80. — (Секція: Інформаційні технології). 29. Лавринець О.О. Побудова середовища розробки веб-додатків з оптимальним рівнем безпеки : дипломна робота магістра за спеціальністю „125 — кібербезпека“/О.О. Лавринець. — Тернопіль: ТНТУ, 2019. — 86 с.
Тип вмісту: Master Thesis
Розташовується у зібраннях:125 — кібербезпека

Файли цього матеріалу:
Файл Опис РозмірФормат 
Dyplom__Rii__Y_V_2021.pdfКваліфікаційна робота магістра1,96 MBAdobe PDFПереглянути/відкрити
avtorska_dov__Rii__Y_V_2021.pdfАвторська довідка451,88 kBAdobe PDFПереглянути/відкрити
Показати повний опис матеріалу Перегляд статистики


Усі матеріали в архіві електронних ресурсів захищені авторським правом, всі права збережені.

Інструменти адміністратора