Тип работы:
Предмет:
Язык работы:


Механизмы управления доступом и сессиями

Работа №111936

Тип работы

Бакалаврская работа

Предмет

информационная безопасность

Объем работы54
Год сдачи2021
Стоимость2000 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
112
Не подходит работа?

Узнай цену на написание


ВВЕДЕНИЕ 3
РАЗДЕЛ 1. МЕХАНИЗМЫ УПРАВЛЕНИЯ ДОСТУПОМ И СЕССИЯМИ 4
1.1. Методы аутентификации в вэб-приложениях 4
1.1.1. Аутентификация по паролю 6
1.1.2. Аутентификация в форме 13
1.2. Аутентификация по сертификатам 21
1.3. Аутентификация по одноразовым паролям 23
1.4. Аутентификация по ключам доступа 26
1.5. Выводы по первому разделу 28
РАЗДЕЛ 2. ОШИБКИ АУТЕНТИФИКАЦИИ 30
2.1. Уязвимости хранения паролей 30
2.2. Уязвимости проверки пароля 34
2.3. Аутентификация в cookie 36
2.4. Уязвимости передаваемых параметров 37
2.5. Уязвимости хранения пароля в базе данных 39
2.6. Robots.txt и хранение пароля в виде хеша 43
2.7. Угон сессии, манипуляция параметрами, local file inclusion 45
2.8. Выводы по главе 2 49
РАЗДЕЛ 3. ОХРАНА ТРУДА 50
ЗАКЛЮЧЕНИЕ 52
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 53

Вместе с работой доклад и презентация


Современный интегрированный мир построен на миллиардах вебсерверов, поддерживающих работу web-сайтов, обеспечивающих выполнение различных функций, начиная от торговых операций и заканчивая поддержкой электронного правительства.
Web-приложения ежедневно подвергаются различным атакам. При наличии большого количества инструментов для атак, статей с подробным описанием и даже видео демонстраций проведения атак, многие люди пытаются попробовать свои силы. Существуют люди, которые превращают взлом web-сайтов в так называемый бизнес. Из-за их действий многие владельцы web-приложений терпят финансовые убытки, а также попадание личной информации третьим лицам. Согласно исследованиям компании Positive Technologies за 2018 год, среднее количество атак составляет 2138 атак, 99% из которых проводятся вручную. В связи с этим обеспечение информационной безопасности (аИБ) web-приложений является актуальной задачей.
Предмет исследования: уязвимости и ошибки в реализации аутентификации.
Объект исследования: различные методы аутентификации.
Цель работы: анализ уязвимостей аутентификации на сайтах.
Для достижения заявленной цели были поставлены следующие задачи:
– анализ имеющихся механизмов управления доступом, их уязвимостей;
– проверка различных методов аутентификации на тестовых сайтах;
– анализ полученных результатов;
– выводы по результатам исследования.


Возникли сложности?

Нужна помощь преподавателя?

Помощь студентам в написании работ!


В ходе данной работы были проанализированы уязвимости авторизации на сайте. Были рассмотрены такие уязвимости как хранение чувствительных данных на странице, отсутствие фильтрации формы ввода паролей, уязвимости баз данных(SQL-инъекции), включение зловредной информации в параметры запросов, выполнение произвольного кода на стороне сервера.
Все атаки были проведены на специальном сайте для обучения пентестингу HackThisSite, однако многие из них очень похожи на реальные, описанные в отчетах по безопасности.
По итогам работы можно сделать выводы, что изучение веб-безопасности необходимо как программистам, которые собираются разрабатывать серверные и клиентские части сайтов, так и тестировщикам, специалистам по информационной безопасности для того, чтобы сделать интернет безопаснее.
Результаты работы использованы в качестве лабораторной работы по курсу «WEB- программирование».




1. Родичев Ю.А Нормативная база и стандарты в области информационной безопасности / Родичев Ю. А – Петербург, Питер-2018.- 470 с.
2. Михайлов Д. М, Защита мобильных телефонов от атак/ Михайлов Д.М, Жуков И.Ю-Москва, Фойлис- 2011. -192 с.
3. Бабин С.А Лаборатория Хакера / Бабин С.А –Петербург, БХВ-2016. - 240 с.
4. Расторгуев С. П Информационные операции в сети Интернет / Расторгуев С.П, Литвиненко М. В-Москва, АНО ЦСОиП-2014. - 128 с.
5. Жуков Ю.В Основы веб-хакинга: нападение и защита / Жуков Ю.В- Петербург, Питер- 2012. – 208 с.
6. Фленов М.Е Web - сервер глазами хакера / Фленов М.Е- Петербург, БХВ-2010. -320 с.
7. Стюгин М. А Метод аутентификации с использованием динамических ключей / Стюгин М. А- Москва, Хакер- 2016. -13 с.
8. Еременко А. В Двухфакторная аутентификация пользователей компьютерных систем на удаленном сервере по клавиатурному почерку / Еременко А. В, Сулавко А. Е – Москва, Синергия, 2015. - 12 с.
9. А. А Афанасьев Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам / А. А Афанасьев и др- Москва - Горячая Линия – Телеком, 2012. – 552 с.
10. Мельников Д. А Информационная безопасность открытых систем / Мельников Д. А- Москва- Флинта, 2019. – 444 с.
11. Вся правда об XSS или Почему межсайтовое выполнение сценариев не является уязвимостью. Positive Technologies. [Электронный ресурс] – URL : https://habrahabr.ru
12. Евтеев Д. SQL Injection от А до Я / Positive Technologies [Электронный ресурс]. - URL: https://www.ptsecurity.com/upload/corporate/ruru/analytics/PT-devteev-Advanced-SQL-Injection.pdf
13. Барабанов, А.В. Разработка типовой методики анализа уязвимостей в веб приложениях при проведении сертификационных испытаний по требованиям безопасности информации / Барабанов А.В., Федичев A.B. - Вопросы кибербезопасности. 2016. № 2 (15). С. 2-8.
14. Подход к оцениванию и прогнозированию уровня защищенности информационных и телекоммуникационных систем / П. А. Глыбовский [и др.] - Труды СПИИРАН, 2015. – № 5 (42), c. 180–19
15. Barabanov, A.V. Methodological Framework for Analysis And Synthesis of a Set of Secure Software Development Controls / A.V. Barabanov, A.S. Markov, V.L. Tsirlov. - Journal of Theoretical and Applied Information Technology. 2016. Vol. 88. No 1, pp. 77-88.-202.
16. Техника безопасности при работе с компьютером [Электронный ресурс] - режим доступа: http://proremontpk.ru/ustanovka/tehnika-bezopasnosti-pri-rabote-s-personalnym-kompjuterom.htm; Источник: http://proremontpk.ru.




Работу высылаем на протяжении 30 минут после оплаты.



Подобные работы


©2024 Cервис помощи студентам в выполнении работ