1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека, Кібербезпека та захист інформації
Please use this identifier to cite or link to this item: http://elartu.tntu.edu.ua/handle/lib/48340
Title: Аналіз методів захисту веб додатків від кібератак
Other Titles: Analysis of Web Application Security Methods Against Cyberattacks
Authors: Кончак, Марія Богданівна
Konchak, Mariia
Affiliation: ТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Україна
Bibliographic description (Ukraine): Кончак М.Б. Аналіз методів захисту веб додатків від кібератак : робота на здобуття кваліфікаційного ступеня магістра: спец. 125 - Кібербезпека та захист інформації / наук. кер. Т. А. Лечаченко. Тернопіль : Тернопільський національний технічний університет імені Івана Пулюя, 2024. 72 с.
Issue Date: 1-Jan-2025
Date of entry: 5-Apr-2025
Publisher: ТНТУ
Country (code): UA
Place of the edition/event: ТНТУ ім. І.Пулюя, ФІС, м. Тернопіль, Україна
Supervisor: Лечаченко, Тарас Анатолійович
Lechachenko, Taras
Committee members: Варавін, Антон Валерійович
Varavin, Anton
Keywords: HTTPS
SSL/TLS
SHA-256
Cross-Site Scripting
IDS/IPS
Javascript
Abstract: Магістерська робота присвячена аналізу сучасних методів захисту веб-додатків від кібератак. У роботі розглядаються основні загрози безпеці, такі як атаки типу Cross-Site Scripting (XSS), SQL Injection, та інші вектори атак, які використовуються для компрометації веб-додатків. Проведено дослідження сучасних технологій захисту, зокрема, застосування протоколів HTTPS із використанням SSL/TLS для забезпечення шифрування переданих даних, алгоритмів хешування SHA-256 для безпечного зберігання інформації, а також систем виявлення та запобігання вторгнень (IDS/IPS). Окрему увагу приділено методам динамічної перевірки та очищення даних на стороні клієнта із використанням мови Javascript. У роботі запропоновано підхід до впровадження багаторівневих механізмів захисту, що дозволяє мінімізувати ризики та підвищити стійкість веб-додатків до кібератак. Розроблено рекомендації щодо інтеграції систем моніторингу та аналізу трафіку для своєчасного виявлення підозрілої активності. Магістерська робота містить 72 сторінок, ілюстрована 1 рисунком а також включає 1 додаток та 28 лістингів. The master's thesis is devoted to the analysis of modern methods for protecting web applications from cyberattacks. The study examines major security threats, including attacks such as Cross-Site Scripting (XSS), SQL Injection, and other attack vectors used to compromise web applications. Research was conducted on modern security technologies, including the use of HTTPS protocols with SSL/TLS for encrypted data transmission, SHA-256 hashing algorithms for secure information storage, and intrusion detection and prevention systems (IDS/IPS). Particular attention is paid to dynamic data validation and sanitization methods on the client side using Javascript. The thesis proposes an approach to implementing multi-layered security mechanisms, which minimizes risks and enhances the resilience of web applications against cyberattacks. Recommendations for integrating monitoring and traffic analysis systems for timely detection of suspicious activity have also been developed. The master's thesis comprises 72 pages, is illustrated with 1 figure, and includes 1 appendix and 28 listings.
Description: Аналіз методів захисту веб додатків від кібератак // ОР «Магістр» // Кончак Марія Богданівна // Тернопільський національний технічний університет імені Івана Пулюя, факультет комп’ютерно-інформаційних систем і програмної інженерії, кафедра кібербезпеки, група СБмl-61 // Тернопіль, 2024 // С. 72, рис. – 1, табл. – 5 , кресл. – 13, додат. – 2, ліст. – 28 .
Content: ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ 7 ВСТУП 9 РОЗДІЛ 1. ТЕОРЕТИЧНІ ОСНОВИ ЗАХИСТУ ВЕБ-ДОДАТКІВ ВІД КІБЕРАТАК 11 1.1 Аналіз сучасних загроз безпеки веб-додатків та їх класифікація 11 1.2 Дослідження існуючих методів та засобів захисту веб-додатків 15 1.3 Порівняльний аналіз ефективності сучасних методів захисту веб-додатків 18 РОЗДІЛ 2. РОЗРОБКА КОМПЛЕКСНОЇ СИСТЕМИ ЗАХИСТУ ВЕБ-ДОДАТКУ 22 2.1 Аналіз та обґрунтування вибору методів захисту від XSS та CSRF атак 22 2.2 Проектування системи захисту бази даних від SQL-ін'єкцій 26 2.3 Розробка методики шифрування критичних даних веб-додатку 32 РОЗДІЛ 3. РЕАЛІЗАЦІЯ ТА ОЦІНКА ЕФЕКТИВНОСТІ ЗАПРОПОНОВАНИХ МЕТОДІВ ЗАХИСТУ 40 3.1 Практична реалізація комплексної системи захисту веб-додатку 40 3.2 Тестування та оцінка ефективності впроваджених методів захисту 47 3.3 Рекомендації щодо оптимізації та вдосконалення системи захисту 56 РОЗДІЛ 4. ОХОРОНА ПРАЦІ ТА БЕЗПЕКИ В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 62 4.1 Охорона праці 62 ВИСНОВКИ 64 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 66 Додаток А 70 Додаток Б 72
URI: http://elartu.tntu.edu.ua/handle/lib/48340
Copyright owner: © Кончак Марія Богданівна, 2024
References (Ukraine): 1. Береза А.М. Основи створення інформаційних систем: навч. посіб. Київ: КНЕУ, 2023. 214 с.
2. Васильєв Ю.В., Петренко А.І. Сучасні методи захисту веб-додатків від кібератак. Кібербезпека в Україні. 2023. №4. С. 15-22.
3. Tymoshchuk, V., Mykhailovskyi, O., Dolinskyi, A., Orlovska, A., & Tymoshchuk, D. (2024). OPTIMISING IPS RULES FOR EFFECTIVE DETECTION OF MULTI-VECTOR DDOS ATTACKS. Матеріали конференцій МЦНД, (22.11. 2024; Біла Церква, Україна), 295-300.
4. Домарєв В.В., Домарєв Д.В. Безпека інформаційних технологій. Системний підхід. Київ: ТІД ДС, 2023. 992 с.
5. Lypa, B., Horyn, I., Zagorodna, N., Tymoshchuk, D., Lechachenko T., (2024). Comparison of feature extraction tools for network traffic data. CEUR Workshop Proceedings, 3896, pp. 1-11.
6. Tymoshchuk, D., Yasniy, O., Mytnyk, M., Zagorodna, N., Tymoshchuk, V., (2024). Detection and classification of DDoS flooding attacks by machine learning methods. CEUR Workshop Proceedings, 3842, pp. 184 - 195.
7. Tymoshchuk, V., Vantsa, V., Karnaukhov, A., Orlovska, A., & Tymoshchuk, D. (2024). COMPARATIVE ANALYSIS OF INTRUSION DETECTION APPROACHES BASED ON SIGNATURES AND ANOMALIES. Матеріали конференцій МЦНД, (29.11. 2024; Житомир, Україна), 328-332.
8. Лахно В.А., Петров О.С. Технології безпеки сучасних інформаційних систем. Київ: КПІ ім. Ігоря Сікорського, 2023. 452 с.
9. Tymoshchuk, V., Vorona, M., Dolinskyi, A., Shymanska, V., & Tymoshchuk, D. (2024). SECURITY ONION PLATFORM AS A TOOL FOR DETECTING AND ANALYSING CYBER THREATS. Collection of scientific papers «ΛΌГOΣ», (December 13, 2024; Zurich, Switzerland), 232-237.
10. Остапов С.Е., Євсеєв С.П., Король О.Г. Технології захисту інформації. Харків: ХНЕУ, 2023. 476 с.
11. Tymoshchuk, V., Pakhoda, V., Dolinskyi, A., Karnaukhov, A., & Tymoshchuk, D. (2024). MODELLING CYBER THREATS AND EVALUATING THE PERFORMANCE OF INTRUSION DETECTION SYSTEMS. Grail of Science, (46), 636–641. https://doi.org/10.36074/grail-of-science.29.11.2024.081
12. Погребенник В.Д., Партика Ю.Д. Інформаційні технології та системи. Київ: Український бестселер, 2023. 468 с.
13. Muzh, V., & Lechachenko, T. (2024). Computer technologies as an object and source of forensic knowledge: challenges and prospects of development. Вісник Тернопільського національного технічного університету, 115(3), 17-22
14. Tymoshchuk, D., & Yatskiv, V. (2024). Slowloris ddos detection and prevention in real-time. Collection of scientific papers «ΛΌГOΣ», (August 16, 2024; Oxford, UK), 171-176.
15. Anderson R. Security Engineering: A Guide to Building Dependable Distributed Systems. 3rd ed. Wiley, 2023. 1080 p.
16. Stanko, A., Wieczorek, W., Mykytyshyn, A., Holotenko, O., & Lechachenko, T. (2024). Realtime air quality management: Integrating IoT and Fog computing for effective urban monitoring. CITI, 2024, 2nd.
17. Content Security Policy Level 3. W3C Working Draft, 2024. URL: https://www.w3.org/TR/CSP3/ (дата звернення: 12.11.2024)
18. Derkach, M., Skarga-Bandurova, I., Matiuk, D., & Zagorodna, N. (2022, December). Autonomous quadrotor flight stabilisation based on a complementary filter and a PID controller. In 2022 12th International Conference on Dependable Systems, Services and Technologies (DESSERT) (pp. 1-7). IEEE.
19. Stadnyk, M. (2016, February). The informative parameters determination for a visual system diagnostics by using the steady state visual evoked potentials. In 2016 13th International Conference on Modern Problems of Radio Engineering, Telecommunications and Computer Science (TCSET) (pp. 800-803). IEEE.
20. OWASP API Security Project. OWASP Foundation, 2024. URL: https://owasp.org/www-project-api-security/ (дата звернення: 12.11.2024)
21. Secure Coding Guidelines. Microsoft, 2024. URL: https://docs.microsoft.com/security/secure-coding-guidelines/ (дата звернення: 12.11.2024)
22. ТИМОЩУК, Д., & ЯЦКІВ, В. (2024). USING HYPERVISORS TO CREATE A CYBER POLYGON. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (3), 52-56.
23. ТИМОЩУК, Д., ЯЦКІВ, В., ТИМОЩУК, В., & ЯЦКІВ, Н. (2024). INTERACTIVE CYBERSECURITY TRAINING SYSTEM BASED ON SIMULATION ENVIRONMENTS. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (4), 215-220.
24. Wheeler D.A. Secure Programming HOWTO. 2024. URL: https://dwheeler.com/secure-programs/ (дата звернення: 12.11.2024)
25. XSS Prevention Rules. OWASP Foundation, 2024. URL: https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html (дата звернення: 12.11.2024)
26. T. Lechachenko, R. Kozak, Y. Skorenkyy, O. Kramar, O. Karelina. Cybersecurity Aspects of Smart Manufacturing Transition to Industry 5.0 Model. CEUR Workshop Proceedings, 2023, 3628, pp. 325–329
27. Yesin, V., Karpinski, M., Yesina, M., Vilihura, V., Kozak, R., Shevchuk, R. (2023). Technique for Searching Data in a Cryptographically Protected SQL Database. Applied Sciences, 13(20), art. no. 11525, 1-21. doi: 10.3390/app132011525.
28. Balyk, A., Iatsykovska, U., Karpinski, M., Khokhlachova, Y., Shaikhanova, A., & Korkishko, L. (2015, September). A survey of modern IP traceback methodologies. In 2015 IEEE 8th International Conference on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS) (Vol. 1, pp. 484-488). IEEE.
29. Krivulya, G., Skarga-Bandurova, I., Tatarchenko, Z., Seredina, O., Shcherbakova, M., & Shcherbakov, E. (2019, August). An intelligent functional diagnostics of wireless sensor network. In 2019 7th International Conference on Future Internet of Things and Cloud Workshops (FiCloudW) (pp. 135-139). IEEE.
30. Biloborodova, T., Skarga-Bandurova, I., Derkach, M., Matiuk, D., & Zagorodna, N. (2024). Identification of Salient Brain Regions for Anxiety Disorders Using Nonlinear EEG Feature Analysis. Studies in health technology and informatics, 321, 180-184.
Content type: Master Thesis
Appears in Collections:125 — кібербезпека, Кібербезпека та захист інформації

Files in This Item:
File Description SizeFormat 
Master_Thesis_SBmd-61_Konchak_M_B_2024.pdf983,35 kBAdobe PDFView/Open
Show full item record


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

Admin Tools