📄Работа №187930

Тема: ЭКСПЕРИМЕНТАЛЬНАЯ ОЦЕНКА ЭФФЕКТИВНОСТИ ПРОТИВОДЕЙСТВИЯ МЕЖСЕТЕВОГО ЭКРАНА АТАКАМ НА WEB-ПРИЛОЖЕНИЯ

Характеристики работы

Тип работы Дипломные работы, ВКР
Информатика и вычислительная техника
Предмет Информатика и вычислительная техника
📄
Объем: 46 листов
📅
Год: 2025
👁️
Просмотров: 69
4600 руб.
🛒 Купить работу
Не подходит эта работа?
Закажите новую по вашим требованиям
Узнать цену на написание
ℹ️ Настоящий учебно-методический информационный материал размещён в ознакомительных и исследовательских целях и представляет собой пример учебного исследования. Не является готовым научным трудом и требует самостоятельной переработки.
📋 Содержание 📖 Аннотация 📖 Введение ✅ Заключение 📕 Литература 🖼 Скриншоты 🔍 Похожие 🛒 Купить

📋 Содержание

Аннотация
ГЛОССАРИЙ 4
Введение 5
1 Рассматриваемое веб-приложение 7
1.1 Развёртывание Juice Shop 9
1.2 Настройка Postman 10
1.3 Опорные запросы 11
1.3.1 Запрос Register 11
1.3.2 Атака AdminRegister 12
1.3.3 Запрос Login 13
1.3.4 Запрос Captcha 14
2 Обзор актуальных атак 15
2.1 Атаки XSS (Cross-Site Scripting) 15
2.1.1 Атака ReflectedXSS 15
2.1.2 Атака StoredHeaderXSS 16
2.1.3 Атака StoredProductXSS 17
2.1.3 Атака StoredUserXSS 18
2.1.4 Атака DOM XSS 18
2.2 SQL-инъекции 20
2.2.1 Атака AdminLogin 20
2.2.2 Атака ImpedanceMismatch 21
2.2.3 Атака DatabaseSchema 22
2.2.4 Атака ParamsOverflow 23
2.2.5 Атака EphemeralAccountant 24
2.3 Атаки broken access control 24
2.3.1 Атака CSRF (Cross-Site Request Forgery) 25
2.3.2 Атака ForgedReview 26
2.3.3 Атака ForgedFeedback 26
2.3.4 Атака ChangeDescription 28
2.3.5 Атака AddToAnotherBasket 28
3 Рассматриваемый WAF 30
3.1 OWASP Modsecurity и OWASP CRS 30
3.2 Развёртывание Modsecurity 31
3.3 Результаты проведения атак со включенным Modsecurity 33
3.3.1 Блокировка StoredHeaderXSS 35
3.3.2 Блокировка AdminLogin 36
3.3.3 Блокировка DOM XSS 36
4 Инструмент для анализа логов 37
ЗАКЛЮЧЕНИЕ 40
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 41

📖 Аннотация

Работа посвящена экспериментальной оценке эффективности межсетевого экрана прикладного уровня (WAF) в противодействии атакам на веб-приложения. Актуальность исследования обусловлена устойчивым ростом доли веб-приложений в инцидентах информационной безопасности и распространенностью критических уязвимостей, таких как SQL-инъекции и XSS, при невозможности их оперативного устранения в коде. Методология включала построение экспериментального стенда на базе уязвимого веб-приложения OWASP Juice Shop и WAF Modsecurity с набором правил OWASP CRS, проведение серии моделируемых атак и последующий анализ логов с помощью специально разработанного инструмента. Результаты показали, что конфигурация WAF успешно блокирует большинство тестируемых атак из списка OWASP Top Ten, однако остаётся неэффективной против атак, не затрагивающих веб-сервер напрямую, как в случае с DOM XSS. Практическая значимость заключается в том, что выводы и разработанный инструмент анализа могут быть использованы администраторами безопасности для верификации и тонкой настройки WAF в корпоративных инфраструктурах. Теоретической основой для моделирования компонентов системы послужило учебное пособие Моисеева А.Н. по основам языка UML. Таким образом, работа демонстрирует, что WAF является мощным, но не универсальным средством защиты, чья эффективность напрямую зависит от корректности конфигурации и понимания её ограничений.

📖 Введение

В современном мире веб-приложения играют ключевую роль в обеспечении доступа к услугам, это может быть всё, что угодно - новостной портал, видеохостинг, форум, корпоративный портал и подобные сервисы. Однако популярность делает их привлекательной мишенью для кибератак. Веб-приложения остаются одним из основных векторов для атак, а их доля в инцидентах безопасности неуклонно растёт [2]. Уязвимости по типу SQL- инъекций, межсайтового скриптинга (XSS) и подобные, продолжают представлять серьезную угрозу, что подтверждается списком из 10 самых критичных угроз для веб-приложения OWASP Top Ten [3]. В этой работе будет рассмотрена ситуация, когда немедленное исправление всех уязвимостей в коде не представляется возможным, а защита веб-приложений является приоритетной задачей.
Одной из опций для минимизации вероятности эксплуатации уязвимостей веб-приложения является использование WAF. WAF выступает в качестве посредника между веб-приложением и внешним трафиком, в ходе фильтрации трафика он обнаруживает и блокирует запросы с подозрительным содержанием на основе заданных ему правил и сигнатур [4]. Из этого вытекает, что его эффективность зависит от правильной настройки и общей области покрытия правил для обнаружения угроз. Нередко WAF рассматривается как универсальное средство защиты, хотя исследования показывают, что он не всегда способен полностью закрыть уязвимости, особенно связанные с логикой приложения [5].
Цель данной работы — оценить эффективность противодействия межсетевого экрана прикладного уровня на web-приложения.
Для достижения этой цели были поставлены следующие задачи:
1. Провести обзор актуальных атак на веб-приложения.
2. Построить экспериментальный стенд для проведения атак.
3. Разработать инструмент анализа логов межсетевого экрана прикладного уровня.
4. Оценить эффективность межсетевого экрана прикладного уровня на противодействие атакам.
Актуальность исследования обусловлена постоянным ростом числа кибератак и необходимостью наличия у современных веб-приложений эффективных инструментов защиты.

Возникли сложности?

Нужна качественная помощь преподавателя?

👨‍🎓 Помощь в написании
🎓 Дипломные 📘 Магистерские 📙 Диссертации 📗 Курсовые 📝 Статьи 📄 ВКР

✅ Заключение

Таким образом, можно сделать вывод, что WAF Modsecurity, реализующий актуальный набор правил OWASP CRS, способен закрыть большинство уязвимостей из списка OWASP Top Ten. По результатам, 12 из 15 рассмотренных типов атак были заблокированы сразу, а возможность создавать пользовательские правила позволила защитить ещё от двух атак, которые пользовались несовершенностью конкретного веб-приложения. Это делает его крайне сильным инструментом для защиты веб-приложения, однако, если атака выполняется без участия веб-сервера, то WAF становится абсолютно бессилен, как и было продемонстрировано на примере атаки DOM XSS.
Для проведения исследования, а также для упрощения подобных исследований в будущем, был разработан инструмент анализа логов WAF, благодаря которому был выявлен факт ложных срабатываний.
Нужна своя уникальная работа?
Срочная разработка под ваши требования
Рассчитать стоимость
ИЛИ
Поиск аналога

📕 Список литературы

1. Обзор рынка защиты веб-приложений (WAF) — 2024 [Электронный ресурс]
URL: https://www.anti-malware.ru/analytics/Market_Analysis/Web-Application-
Firewall-2024#part1 (дата обращения 16.10.2024).
2. 2024 Data Breach Investigations Report | Verizon / D. Hylender, P. Langlois, A. Pinto, S. Widup https://www.verizon.com/business/resources/reports/2024-dbir- data-breach-investigations-report.pdf, 2024. - 100 с.
3. OWASP Top Ten | OWASP Foundation [Электронный ресурс] URL: https://owasp.org/www-project-top-ten/ (дата обращения 16.10.2024).
4. Web Application Firewall / Хабр [Электронный ресурс] URL:
https://habr.com/ru/companies/otus/articles/733142/ (дата обращения 16.10.2024).
5. WAF глазами хакеров / Хабр [Электронный ресурс] URL:
https://habr.com/ru/companies/dsec/articles/340144/ (дата обращения
16.10.2024) .
6. OWASP Juice Shop: Probably the most modern and sophisticated insecure web application [Электронный ресурс] URL: https://github.com/juice-shop/juice- shop?ysclid=matxyduoda787635737 (дата обращения 20.10.2024).
7. Challenge solutions • Pwning OWASP Juice Shop [Электронный ресурс] URL:
https://help.owasp-juice.shop/appendix/solutions.html (дата обращения
21.10.2024) .
8. Docker: Accelerated Container Application Development [Электронный ресурс] URL: https://www.docker.com/ (дата обращения 25.10.2024).
9. Postman: The World's Leading API Platform [Электронный ресурс] URL: https://www.postman.com/ (дата обращения 10.12.2024).
10. Что такое XSS-уязвимость и как тестировщику не пропустить ее / Хабр
[Электронный ресурс] URL: https://habr.com/ru/articles/511318/ (дата
обращения 15.11.2024).
11. Первое знакомство с SQL-инъекциями / Хабр [Электронный ресурс] URL:
https://habr.com/ru/companies/ruvds/articles/553066/ (дата обращения
17.11.2024) .
12. Все, что нужно знать про «Broken access control» / Хабр [Электронный ресурс] URL: https://habr.com/ru/articles/654769/ (дата обращения 21.11.2024).
13. Modsecurity Project [Электронный ресурс] URL: https://modsecurity.org/ (дата обращения 20.12.2024).
14. OWASP CRS | OWASP Foundation [Электронный ресурс] URL:
https://owasp. org/www-proj ect-modsecurity-core-rule-set/ (дата обращения
22.12.2024) .
15. Docker Compose | Docker Docs [Электронный ресурс] URL:
https://docs.docker.com/compose/ (дата обращения 18.03.2025).
16. Моисеев А.Н. Основы языка UML : учеб. пособие / А.Н. Моисеев, М.И.
Литовченко. - Томск : Издательство Томского государственного
университета, 2023 - 96 с.

🖼 Скриншоты

Содержание
Содержание
Рассматриваемое веб-приложение

🛒 Оформить заказ

Работу высылаем в течении 5 минут после оплаты.
Предоставляемые услуги, в том числе данные, файлы и прочие материалы, подготовленные в результате оказания услуги, помогают разобраться в теме и собрать нужную информацию, но не заменяют готовое решение.
Укажите ник или номер. После оформления заказа откройте бота @workspayservice_bot для подтверждения. Это нужно для отправки вам уведомлений.

🔍 ПОХОЖИЕ РАБОТЫ ПО ТЕМЕ

Оценка эффективности и направления совершенствования внутреннего контроля по обеспечению экономической безопасности банковской деятельности Дипломные работы, ВКР ¤Экономика 2018 г. 4380 руб. Оценка эффективности деятельности таможенных органов РФ Курсовые работы Таможенное дело 2022 г. 700 руб. Оценка эффективности деятельности и система мотивации государственных служащих (на примере Министерства строительства и инфраструктуры Челябинской области) Дипломные работы, ВКР Государственное и муниципальное управления 2021 г. 4900 руб. РАЗРАБОТКА МЕТОДОВ ОЦЕНКИ ЭФФЕКТИВНОСТИ СВЕТОДИОДНЫХ ИСТОЧНИКОВ СВЕТА ДЛЯ ПРОИЗВОДСТВЕННЫХ ПОМЕЩЕНИЙ РАЗЛИЧНОГО ФУНКЦИОНАЛЬНОГО НАЗНАЧЕНИЯ Магистерская диссертация Электротехника 2019 г. 4900 руб. Оценка эффективности применения добавки водорода для активации процесса сгорания в бензиновых ДВС Магистерская диссертация Машиностроение 2020 г. 5500 руб. Оценка эффективности инвестиций в высокотехнологичные проекты Магистерская диссертация ¤Экономика 2023 г. 4600 руб. Оценка эффективности инвестиционного портфеля Дипломные работы, ВКР ¤Экономика 2017 г. 4320 руб. Оценка эффективности социальной рекламы (на примере социальной рекламы Пенсионного фонда России) Дипломные работы, ВКР Социальная работа 2020 г. 4950 руб. Исследование и разработка методики оценки эффективности автосервисных предприятий Магистерская диссертация Автомобили и автомобильное хозяйство 2018 г. 5700 руб. ПОСТРОЕНИЕ СИСТЕМЫ КРИТЕРИЕВ ОЦЕНКИ ЭФФЕКТИВНОСТИ ДЕЯТЕЛЬНОСТИ ТАМОЖЕННЫХ ОРГАНОВ Дипломные работы, ВКР Таможенное дело 2016 г. 4900 руб.

📎 ДИПЛОМНЫЕ РАБОТЫ, ВКР ПО ПРЕДМЕТУ «ИНФОРМАТИКА И ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА»

Найдено работ: 2812

Разработка веб-представительства фирмы (на примере ООО «БрайтМобайл») Дипломные работы, ВКР Информатика и вычислительная техника 2020 г. 4560 руб. Разработка и администрирование веб-приложения внутренней логистики предприятия Дипломные работы, ВКР Информатика и вычислительная техника 2025 г. 4500 руб. Разработка проекта автоматизации интеграционного тестирования информационных систем в компании Дипломные работы, ВКР Информатика и вычислительная техника 2023 г. 4460 руб. Цифровой преобразователь углового перемещения с арктангенсным постоянным запоминающим устройством Дипломные работы, ВКР Информатика и вычислительная техника 2017 г. 4930 руб. Проектирование системы электроснабжения промышленного предприятия Дипломные работы, ВКР Информатика и вычислительная техника 2017 г. 4910 руб. Разработка измерительной информационной системы нефтяной промышленности на основе агрегатного комплекса средств электроизмерительной техники Дипломные работы, ВКР Информатика и вычислительная техника 2017 г. 4580 руб. Поверка и калибровка микропроцессорного блока вычисления расхода Дипломные работы, ВКР Информатика и вычислительная техника 2017 г. 4710 руб. Беспроводной цифровой датчик температуры Дипломные работы, ВКР Информатика и вычислительная техника 2017 г. 4900 руб. Проектирование системы освещения промышленного предприятия Дипломные работы, ВКР Информатика и вычислительная техника 2017 г. 4860 руб. Компьютерные информационные технологии в управлении документооборотом Дипломные работы, ВКР Информатика и вычислительная техника 2024 г. 2000 руб. Онлайн-курс для учащихся старших классов по применению технологии исследования функций одной переменной и построению их графиков: на примере конструктора Stepik Дипломные работы, ВКР Информатика и вычислительная техника 2021 г. 2500 руб. Применение геоинформационной системы (ГИС) в системах бизнес - анализа Дипломные работы, ВКР Информатика и вычислительная техника 2017 г. 4780 руб. Исследование рынка электронной коммерции в России Дипломные работы, ВКР Информатика и вычислительная техника 2017 г. 4870 руб. Формирование, развитие и трансформация команды проекта Дипломные работы, ВКР Информатика и вычислительная техника 2017 г. 4700 руб. Автоматизация процесса выгрузки документов средствами «Java» Дипломные работы, ВКР Информатика и вычислительная техника 2017 г. 4530 руб.
📋 Содержание 📖 Введение ✅ Заключение 📕 Литература 🖼 Скриншоты 🔍 Похожие 🛒 Купить ⬆️

Оценка стоимости

Пожалуйста, выберите предмет работы.
Пожалуйста, выберите тип работы.
Пожалуйста, укажите объем работы.
Пожалуйста, укажите срок выполнения.

Это краткая форма заказа. После ее заполнения вы перейдете на полную форму заказа работы

Поиск работ


©2026 Cервис помощи студентам в выполнении работ
.