1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Бакалавр
  4. 125 — Кібербезпека (бакалаври)
Veuillez utiliser cette adresse pour citer ce document : http://elartu.tntu.edu.ua/handle/lib/46054
Titre: Розгортання тестового полігону для дослідження вразливостей вебдодатків
Autre(s) titre(s): Deployment of a test environment for researching web application vulnerabilities
Auteur(s): Сюшко, Антон Степанович
Siushko, Anton
Affiliation: ТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Україна
Bibliographic description (Ukraine): Сюшко А. С. Розгортання тестового полігону для дослідження вразливостей вебдодатків: робота на здобуття кваліфікаційного ступеня бакалавра : спец. 125 - кібербезпека / наук. кер. Д. І. Тимощук. Тернопіль : Тернопільський національний технічний університет імені Івана Пулюя, 2024. 56 с.
Date de publication: 26-jui-2024
Date of entry: 10-jui-2024
Country (code): UA
Supervisor: Тимощук, Дмитро Іванович
Tymoshchuk, Dmytro
Committee members: Марценюк, Василь Петрович
Martsenyuk, Vasyl
Mots-clés: вразливість
vulnerability
додаток
application
веб
web
код
code
команда
command
середовище
environment
Résumé: Кваліфікаційна робота присвячена дослідженню вразливостей вебдодатків, що становлять серйозну загрозу для безпеки інформаційних систем. Вразливості таких типів, як SQL Injection, Path Travesal, Authentication bypass та Cross-Site Request Forgery (CSRF), можуть порушувати конфіденційність та доступ до даних. У роботі розглядаються сучасні методи виявлення вразливостей, зокрема ручне тестування за допомогою інструменту Burp Suite. Для дослідження реальних випадків експлуатації вразливостей використовуються вразливі середовища, такі як DVWA та BWAPP. Увага зосереджується на впровадженні інноваційних підходів до захисту вебдодатків, що включають використання передових методів безпечної розробки, інтеграцію захисних фреймворків та проведення регулярних аудитів безпеки. Дослідження показує, як сучасні технології та методології можуть бути застосовані для виявлення та запобігання вразливостей на різних етапах життєвого циклу вебдодатків. Мої дослідження можуть допомогти підвищити безпеку вебдодатків у практиці. Вони включають ефективні заходи захисту від сучасних загроз. Ця робота може бути корисною як для просунутих фахівців у сфері кібербезпеки, так і для навчання студентів, які здобувають освітню кваліфікацію за цим напрямком. The qualification work is devoted to researching the vulnerabilities of web applications that pose a serious threat to the security of information systems. Vulnerabilities such as SQL Injection, Path Travesal, Authentication bypass, and Cross-Site Request Forgery (CSRF) can compromise data privacy and access. The work considers modern methods of detecting vulnerabilities, in particular, manual testing using the Burp Suite tool. Vulnerability environments such as DVWA and BWAPP that are used to investigate real-world exploits. Attention is focused on the implementation of innovative approaches to the protection of web applications, which include the use of advanced methods of secure development, the integration of security frameworks and conducting regular security audits. The study shows how modern technologies and methodologies can be applied to detect and prevent vulnerabilities at various stages of the web application life cycle. My research can help improve the security of web applications in practice. They include effective protection against modern threats. This work can be useful both for advanced specialists in the field of cyber security, and for training students who obtain educational qualifications in this direction.
Description: Розгортання тестового полігону для дослідження вразливостей вебдодатків // Кваліфікаційна робота ОР «Бакалавр» // Сюшко Антон Степанович // Тернопільський національний технічний університет імені Івана Пулюя, факультет комп’ютерно-інформаційних систем і програмної інженерії, кафедра кібербезпеки, група СБc-41 // Тернопіль, 2024 // С. 58 , рис. – 62.
Content: ВСТУП 8 1 КЛАСИФІКАЦІЯ ВРАЗЛИВОСТЕЙ ВЕБДОДАТКІВ 9 1.1 ВРАЗЛИВОСТІ НА СТОРОНІ СЕРВЕРА 9 1.1.1 Обхід шляху 10 1.1.2 Вразливості контролю доступу та підвищення привілеїв 12 1.1.3 Вразливості автентифікації 14 1.1.4 SQL ін'єкції 15 1.2 ВРАЗЛИВОСТІ НА СТОРОНІ КЛІЄНТА 17 1.2 Підміна міжсайтового запиту CSRF 18 2 РОЗГОРТАННЯ ТЕСТОВОГО ПОЛІГОНУ ДЛЯ ЕКСПЛУАТАЦІЇ ВРАЗЛИВОСТЕЙ 21 2.1 ВСТАНОВЛЕННЯ І НАЛАШТУВАННЯ DVWA 21 2.2 ВСТАНОВЛЕННЯ І НАЛАШТУВАННЯ BWAPP 28 2.3 НАЛАШТУВАННЯ ІНСТРУМЕНТУ BURPSUITE 32 3 МОДЕЛЮВАННЯ АТАК В СЕРЕДОВИЩІ ПОЛІГОНУ 34 3.1 МОДЕЛЮВАННЯ АТАКИ COMMAND INJECTION В СЕРЕДОВИЩІ DVWA 34 3.2 МОДЕЛЮВАННЯ АТАКИ SQL-INJECTION В СЕРЕДОВИЩІ BWAPP 38 3.3 МОДЕЛЮВАННЯ АТАКИ FILE UPLOAD В СЕРЕДОВИЩІ DVWA 41 3.4 МОДЕЛЮВАННЯ АТАКИ CSRF В СЕРЕДОВИЩІ DVWA 46 4 БЕЗПЕКА ЖИТТЄДІЯЛЬНОСТІ, ОСНОВИ ОХОРОНИ ПРАЦІ 49 4.1 ЗАХОДИ ЩОДО АВТОМАТИЗАЦІЇ ВИРОБНИЧИХ ПРОЦЕСІВ, ЯКІ СПРИЯЮТЬ ПОКРАЩЕННЮ УМОВ ПРАЦІ 49 4.2 ОРГАНІЗАЦІЯ ПРИРОДНОГО ТА ШТУЧНОГО ОСВІТЛЕННЯ НА РОБОЧОМУ МІСЦІ 52 ВИСНОВКИ 55
URI/URL: http://elartu.tntu.edu.ua/handle/lib/46054
Copyright owner: © Сюшко Антон Степанович, 2024
References (Ukraine): 1. Authentication Hacking: What are Authentication Hacking Attacks? [Електронний ресурс]. – 2014. – Режим доступу до ресурсу: https://www.acunetix.com/websitesecurity/authentication/.
2. Common Website Security Vulnerabilities [Електронний ресурс] // Common places. – 2019. – Режим доступу до ресурсу: https://www.commonplaces.com/blog/6-common-website-security-vulnerabilities/.
3. Cross-Site Request Forgery (CSRF) [Електронний ресурс]. – 2018. – Режим доступу до ресурсу: https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF).
4. Web Application Risk – the Threat of and Solution to Sensitive Data Exposure [Електронний ресурс] – Режим доступу до ресурсу: https://www.immuniweb.com/blog/OWASP-sensitive-data-exposure.html.
5. Web Server Vulnerabilities Attacks: How to Protect Your Organization [Електронний ресурс] // Tech Funnel. – 2018. – Режим доступу до ресурсу: https://www.techfunnel.com/information-technology/web-server-vulnerabilities-attacks-how-to-protect-your-organization/.
6. Ванца, В., Тимощук, В., Стебельський, М., & Тимощук, Д. (2023). МЕТОДИ МІНІМІЗАЦІЇ ВПЛИВУ SLOWLORIS АТАК НА ВЕБСЕРВЕР. Матеріали конференцій МЦНД, (03.11. 2023; Суми, Україна), 119-120.
7. How to Prevent SQL Injection Attacks [Електронний ресурс] // eSecurityPlanet. – 2018. – Режим доступу до ресурсу: https://www.esecurityplanet.com/threats/how-to-prevent-sql-injection-attacks.html.
8. Демчук, В., Тимощук, В., & Тимощук, Д. (2023). ЗАСОБИ МІНІМІЗАЦІЇ ВПЛИВУ SYN FLOOD АТАК. Collection of scientific papers «SCIENTIA», (November 24, 2023; Kraków, Poland), 130-130.
9. Іваночко, Н., Тимощук, В., Букатка, С., & Тимощук, Д. (2023). РОЗРОБКА ТА ВПРОВАДЖЕННЯ ЗАХОДІВ ЗАХИСТУ ВІД UDP FLOOD АТАК НА DNS СЕРВЕР. Матеріали конференцій МНЛ, (3 листопада 2023 р., м. Вінниця), 177-178.
Content type: Bachelor Thesis
Collection(s) :125 — Кібербезпека (бакалаври)

Fichier(s) constituant ce document :
Fichier Description TailleFormat 
Bachelor_Thesis__Siushko_2024.pdf5,37 MBAdobe PDFVoir/Ouvrir
Affichage détaillé


Tous les documents dans DSpace sont protégés par copyright, avec tous droits réservés.

Outils d'administration