Исследование и разработка средств тестирования веб-сайтов на уязвимости
|
Аннотация 2
ВВЕДЕНИЕ 6
1 ИССЛЕДОВАНИЕ МЕХАНИЗМОВ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ВЕБ-САЙТОВ 8
1.1 Общие сведения о безопасности веб-сайтов 8
1.2 Исследование уязвимостей веб-сайтов 18
1.3 Основные типы уязвимостей 19
1.4 Модель угроз безопасности веб-сайтов 21
1.5 Анализ атак веб-сайтов и выбор средств защиты персональных на основе анализа их защищенности 29
2 РАЗРАБОТКА ПРОЕКТНЫХ РЕШЕНИЙ ПО СОЗДАНИЮ ПК КОНТРОЛЯ ЗАЩИЩЕННОСТИ ВЕБ-САЙТОВ 33
2.1 Общее положение о разработке алгоритма контроля защищенности веб-сайтов 33
2.2 Алгоритмы тестирования веб-сайтов на уязвимости 34
3 ТЕСТИРОВАНИЕ И ОЦЕНКА ЭФФЕКТИВНОСТИ РАЗРАБОТАННОГО ПРОГРАММНОГО КОМПЛЕКСА 43
3.1 Анализ эффективности мер обеспечения безопасности веб-сайтов с помощью разработанного программного комплекса 43
3.2 Функциональная эффективность программы 44
ЗАКЛЮЧЕНИЕ 47
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ 50
ПРИЛОЖЕНИЕ А Код программы 53
ВВЕДЕНИЕ 6
1 ИССЛЕДОВАНИЕ МЕХАНИЗМОВ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ВЕБ-САЙТОВ 8
1.1 Общие сведения о безопасности веб-сайтов 8
1.2 Исследование уязвимостей веб-сайтов 18
1.3 Основные типы уязвимостей 19
1.4 Модель угроз безопасности веб-сайтов 21
1.5 Анализ атак веб-сайтов и выбор средств защиты персональных на основе анализа их защищенности 29
2 РАЗРАБОТКА ПРОЕКТНЫХ РЕШЕНИЙ ПО СОЗДАНИЮ ПК КОНТРОЛЯ ЗАЩИЩЕННОСТИ ВЕБ-САЙТОВ 33
2.1 Общее положение о разработке алгоритма контроля защищенности веб-сайтов 33
2.2 Алгоритмы тестирования веб-сайтов на уязвимости 34
3 ТЕСТИРОВАНИЕ И ОЦЕНКА ЭФФЕКТИВНОСТИ РАЗРАБОТАННОГО ПРОГРАММНОГО КОМПЛЕКСА 43
3.1 Анализ эффективности мер обеспечения безопасности веб-сайтов с помощью разработанного программного комплекса 43
3.2 Функциональная эффективность программы 44
ЗАКЛЮЧЕНИЕ 47
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ 50
ПРИЛОЖЕНИЕ А Код программы 53
Под безопасностью информации веб-сайтов, прежде всего, понимается такое состояние всех компонент, при котором обеспечивается защита от возможных угроз на требуемом уровне.
Безопасность веб-приложений — один из наиболее острых вопросов в контексте информационной безопасности. Как правило большинство веб-сайтов, доступных в Интернете, имеют различного рода уязвимости и постоянно подвергаются атакам. В разделе будут рассмотрены основные угрозы информационной безопасности веб-приложений.
В первую очередь это несет угрозу работоспособности сайта. Во вторую, но не менее важную, — сохранность пользовательских данных. Из этих причин вытекает логичное следствие — финансовые и репутационные потери компании.
Актуальность работы обусловлена повышенными требованиями к информации и разнообразием атак на информацию, а также вреда от них.
Объект исследования - обеспечение безопасности веб-сайтов.
Предмет исследования - средства тестирования веб-сайтов на уязвимость.
Целью работы является исследование и разработка средств тестирования веб-сайтов на уязвимости.
Задачи работы:
• анализ угроз;
• классификация угроз;
• построение модели угроз;
• анализ современных технологий и систем защиты информации веб-сайтов;
• построение системы защиты информационных ресурсов в облачных сервисах;
• исследование оптимизации выбора используемых программно - аппаратных средств защиты информации веб-сайтов.
Практическая значимость проведенного исследования - позволяет на приведенном примере разработать типовые рекомендации по защите безопасности веб-сайтов.
Методы исследования - анализ, моделирование.
Работа состоит из введения, трех разделов, заключения, списка используемых источников и одного приложения.
В первой главе выполнен обзор основных уязвимостей веб-сайтов.
Во второй главе проанализированы алгоритмы атак веб-сайтов.
В третьей разработанная система моделирования атак веб-сайтов.
Безопасность веб-приложений — один из наиболее острых вопросов в контексте информационной безопасности. Как правило большинство веб-сайтов, доступных в Интернете, имеют различного рода уязвимости и постоянно подвергаются атакам. В разделе будут рассмотрены основные угрозы информационной безопасности веб-приложений.
В первую очередь это несет угрозу работоспособности сайта. Во вторую, но не менее важную, — сохранность пользовательских данных. Из этих причин вытекает логичное следствие — финансовые и репутационные потери компании.
Актуальность работы обусловлена повышенными требованиями к информации и разнообразием атак на информацию, а также вреда от них.
Объект исследования - обеспечение безопасности веб-сайтов.
Предмет исследования - средства тестирования веб-сайтов на уязвимость.
Целью работы является исследование и разработка средств тестирования веб-сайтов на уязвимости.
Задачи работы:
• анализ угроз;
• классификация угроз;
• построение модели угроз;
• анализ современных технологий и систем защиты информации веб-сайтов;
• построение системы защиты информационных ресурсов в облачных сервисах;
• исследование оптимизации выбора используемых программно - аппаратных средств защиты информации веб-сайтов.
Практическая значимость проведенного исследования - позволяет на приведенном примере разработать типовые рекомендации по защите безопасности веб-сайтов.
Методы исследования - анализ, моделирование.
Работа состоит из введения, трех разделов, заключения, списка используемых источников и одного приложения.
В первой главе выполнен обзор основных уязвимостей веб-сайтов.
Во второй главе проанализированы алгоритмы атак веб-сайтов.
В третьей разработанная система моделирования атак веб-сайтов.
Сканеры — это первый инструмент, используемый злоумышленником для выявления их жертв и определения возможных атак на запуск. IPv6 предлагает некоторую защиту от этих инструментов, хотя это не пуленепробиваемое. Большой размер адресов IPv6, доступных для интерфейсов, затрудняет использование сканерами традиционного способа тестирования всех IP-адресов, отправляют ICMP-пакеты. В первом сценарии, использует alive6, этот процесс принял так долго, что использование его в реальной сети с префиксом /64 будет непрактичным.
Использование созданного пакета эхо-пакетов ICMPv6, а также простых пакетов echo ICMPv6, направленных на багатоадрес-адреса, является лучшим способом поиска адресов IPv6, используемых. Преимущество разработанных пакетов заключается в том, что они также могут найти хосты Windows. Во время сканеров один из результатов заключался в том, что системы Windows не реагируют на многоканальные ехоподибни пакеты ICMPv6.
Однако созданные пакеты создают ответ из систем Windows, которые могут использоваться для сканирования сети. Наконец, время, необходимое для сканирования сети, используя многоадресные пакеты, является минимальным.
Тестирование сообщений о рекламе маршрутизации в атаках MITM показывает, что способ, которым операционные системы обрабатывают эти пакеты, могут создавать уязвимость системы безопасности. В этом случае трудно назначить ответственность, поскольку стандарт не указывает, каким образом следует обрабатывать эти пакеты, таким образом операционные системы имеют свободу реализации собственных решений. Как было показано, Windows имеет некоторые проблемы с обработкой этих пакетов.
Исходя из результатов, делается вывод, что способ обработки сообщений РА делает разницу между безопасной или опасной средой. Возможно, что полностью совместима сеть IPv6, которая использует IPsec, преодолеет эти проблемы, однако сейчас ОС должны найти надежный механизм для проверки сообщений РА. Эти решения могут предусматривать дополнительные пакеты, отправляемые по сети, проверка MAC-адреса, установление приоритетов сети на основе времени или даже ручная проверка. Все эти методы также приносят новые проблемы, которые могут сделать их непрактичным.
Несмотря на то, что атаки MITM в IPv6 все еще возможны, их настроить немного сложнее, чем это делается в сети IPv4, когда узлы IPv6 используют адреса локальной линии. Однако важно отметить, что полная реализация IPsec в IPv6 позволит преодолеть эту проблему, по крайней мере теоретически, через ее процесс аутентификации. Атака MITM не может быть успешной в подключении IPsec, или, по крайней мере, это будет сложнее для реализации.
Использование инструмента fake_router26 показало, что атака MITM частично реализована. Фактически, эта атака превращает атакующую машину на сниффер, который фиксирует весь трафик, поступающий от жертв, но не может зафиксировать трафик на них. Это происходит потому, что, когда жертва устанавливает связь с назначением, общение происходит только между ними, а атакующий не может нюхнуть трафик в коммутируемой сети. Чтобы зафиксировать весь трафик, атакующий должен или рекламировать другую сеть, так и выступать в качестве шлюза или выдать себя за маршрутизатор и выполнять роль прокси-сервера.
Испытания показали, что атака MITM также может стать атакой "Отказ в обслуживании", поскольку это влияет на конфигурацию DNS сети с DHCP, также заставляет обычных пользователей доступа к Интернету. Регулярные пользователи будут пытаться получить доступ к веб-сайту или службы и не сможет из-за атаки. Если реализовано среду, вроде этого отчета, другие конфигурации могут быть проверены, чтобы оценить, они дают сходные результаты. Основной проблемой использования рекламных сообщений маршрутизатора является то, что жертва перестает слушать DHCP-сервер, и поэтому не получает IP-адрес. Это может привести к срыву работы корпоративной сети, которая становится атакой отказа в обслуживании.
Имеющиеся отказа в предоставлении услуг все еще составляют проблему в IPv6. Способ, которым операционные системы обрабатывают пакеты RA, не является проблемой только для атак MITM, а также для атак отказа в обслуживании. Операционные системы, которые обрабатывают все сообщения РА без всякой валидации или ограничения, уязвимые к исчерпанию ресурсов, использующих наводнения сообщений РА. Большое количество этих сообщений заставляет жертвы использовать все свои ресурсы при их обработке и в конечном счете сбои. Несмотря на то, что различные операционные системы отличаются от этих сообщений, они, по крайней мере, должны ограничивать ресурсы, доступные для этой задачи, или устанавливать ограничения на количество использованных ресурсов. Системы Windows достигли некоторых успехов в этом поле, но это все еще остается позади.
Использование созданного пакета эхо-пакетов ICMPv6, а также простых пакетов echo ICMPv6, направленных на багатоадрес-адреса, является лучшим способом поиска адресов IPv6, используемых. Преимущество разработанных пакетов заключается в том, что они также могут найти хосты Windows. Во время сканеров один из результатов заключался в том, что системы Windows не реагируют на многоканальные ехоподибни пакеты ICMPv6.
Однако созданные пакеты создают ответ из систем Windows, которые могут использоваться для сканирования сети. Наконец, время, необходимое для сканирования сети, используя многоадресные пакеты, является минимальным.
Тестирование сообщений о рекламе маршрутизации в атаках MITM показывает, что способ, которым операционные системы обрабатывают эти пакеты, могут создавать уязвимость системы безопасности. В этом случае трудно назначить ответственность, поскольку стандарт не указывает, каким образом следует обрабатывать эти пакеты, таким образом операционные системы имеют свободу реализации собственных решений. Как было показано, Windows имеет некоторые проблемы с обработкой этих пакетов.
Исходя из результатов, делается вывод, что способ обработки сообщений РА делает разницу между безопасной или опасной средой. Возможно, что полностью совместима сеть IPv6, которая использует IPsec, преодолеет эти проблемы, однако сейчас ОС должны найти надежный механизм для проверки сообщений РА. Эти решения могут предусматривать дополнительные пакеты, отправляемые по сети, проверка MAC-адреса, установление приоритетов сети на основе времени или даже ручная проверка. Все эти методы также приносят новые проблемы, которые могут сделать их непрактичным.
Несмотря на то, что атаки MITM в IPv6 все еще возможны, их настроить немного сложнее, чем это делается в сети IPv4, когда узлы IPv6 используют адреса локальной линии. Однако важно отметить, что полная реализация IPsec в IPv6 позволит преодолеть эту проблему, по крайней мере теоретически, через ее процесс аутентификации. Атака MITM не может быть успешной в подключении IPsec, или, по крайней мере, это будет сложнее для реализации.
Использование инструмента fake_router26 показало, что атака MITM частично реализована. Фактически, эта атака превращает атакующую машину на сниффер, который фиксирует весь трафик, поступающий от жертв, но не может зафиксировать трафик на них. Это происходит потому, что, когда жертва устанавливает связь с назначением, общение происходит только между ними, а атакующий не может нюхнуть трафик в коммутируемой сети. Чтобы зафиксировать весь трафик, атакующий должен или рекламировать другую сеть, так и выступать в качестве шлюза или выдать себя за маршрутизатор и выполнять роль прокси-сервера.
Испытания показали, что атака MITM также может стать атакой "Отказ в обслуживании", поскольку это влияет на конфигурацию DNS сети с DHCP, также заставляет обычных пользователей доступа к Интернету. Регулярные пользователи будут пытаться получить доступ к веб-сайту или службы и не сможет из-за атаки. Если реализовано среду, вроде этого отчета, другие конфигурации могут быть проверены, чтобы оценить, они дают сходные результаты. Основной проблемой использования рекламных сообщений маршрутизатора является то, что жертва перестает слушать DHCP-сервер, и поэтому не получает IP-адрес. Это может привести к срыву работы корпоративной сети, которая становится атакой отказа в обслуживании.
Имеющиеся отказа в предоставлении услуг все еще составляют проблему в IPv6. Способ, которым операционные системы обрабатывают пакеты RA, не является проблемой только для атак MITM, а также для атак отказа в обслуживании. Операционные системы, которые обрабатывают все сообщения РА без всякой валидации или ограничения, уязвимые к исчерпанию ресурсов, использующих наводнения сообщений РА. Большое количество этих сообщений заставляет жертвы использовать все свои ресурсы при их обработке и в конечном счете сбои. Несмотря на то, что различные операционные системы отличаются от этих сообщений, они, по крайней мере, должны ограничивать ресурсы, доступные для этой задачи, или устанавливать ограничения на количество использованных ресурсов. Системы Windows достигли некоторых успехов в этом поле, но это все еще остается позади.
Подобные работы
- Математическая модель оценки надёжности веб-сайтов
Магистерская диссертация, информатика. Язык работы: Русский. Цена: 4900 р. Год сдачи: 2018 - Разработка схемы защиты от межсайтового скриптинга
Бакалаврская работа, информатика. Язык работы: Русский. Цена: 4900 р. Год сдачи: 2018 - МЕТОДИКА ТЕСТИРОВАНИЯ НА ПРОНИКНОВЕНИЕ
ЭЛЕКТРОННОЙ ИНФОРМАЦИОННО-ОБРАЗОВАТЕЛЬНОЙ СРЕДЫ ВУЗОВ
Дипломные работы, ВКР, информационная безопасность. Язык работы: Русский. Цена: 4650 р. Год сдачи: 2023 - ОБЕСПЕЧЕНИЕ ДИАГНОСТИЧЕСКОЙ РАБОТЫ ПСИХОЛОГА
СРЕДСТВАМИ ИНТЕРНЕТ ТЕХНОЛОГИЙ
Магистерская диссертация, психология. Язык работы: Русский. Цена: 5720 р. Год сдачи: 2018 - ОБНАРУЖЕНИЕ SQL-ИНЪЕКЦИЙ С ИСПОЛЬЗОВАНИЕМ НЕЙРОСЕТЕВЫХ АЛГОРИТМОВ
Дипломные работы, ВКР, информационная безопасность. Язык работы: Русский. Цена: 4230 р. Год сдачи: 2018 - Исследование популярных веб-сервисов и приложений на наличие уязвимостей
Магистерская диссертация, информатика. Язык работы: Русский. Цена: 4870 р. Год сдачи: 2016 - Исследование методов построения BI-систем с web интерфейсом
Бакалаврская работа, информатика. Язык работы: Русский. Цена: 4215 р. Год сдачи: 2019 - ПОСТРОЕНИЕ СИСТЕМЫ УДАЛЕННОГО ДОСТУПА К КОРПОРАТИВНОЙ СЕТИ ИЗ СЕТИ ИНТЕРНЕТ
Дипломные работы, ВКР, информационная безопасность. Язык работы: Русский. Цена: 4395 р. Год сдачи: 2017 - РАЗРАБОТКА МЕТОДИКИ ПРОГНОЗИРОВАНИЯ ДИНАМИКИ ИЗМЕНЕНИЯ ВЕКТОРА КОМПЬЮТЕРНОЙ АТАКИ С ТОЧКИ ЗРЕНИЯ НАРУШИТЕЛЯ
Диссертации (РГБ), информационная безопасность. Язык работы: Русский. Цена: 4335 р. Год сдачи: 2021