МЕТОДИКА ТЕСТИРОВАНИЯ НА ПРОНИКНОВЕНИЕ ЭЛЕКТРОННОЙ ИНФОРМАЦИОННО-ОБРАЗОВАТЕЛЬНОЙ СРЕДЫ ВУЗОВ
|
Введение 4
1 Исследование процедуры тестирования на проникновение 6
1.1 Обзор существующих стандартов и методик тестирования на проник-новение 6
1.2 Обзор инструментов 12
1.3 Обзор инструментов. Инструменты для сбора информации о веб-сер¬висе и структуре веб-сайта 13
1.4 Обзор инструментов. Инструменты для анализа HTTP трафика 15
1.5 Обзор инструментов. Инструменты для ручной отправки запросов на
сервер 17
1.6 Обзор инструментов. Автоматические сканеры уязвимостей 18
1.7 Обзор инструментов. Многофункциональные инструменты для тести-рования на проникновение веб-сервисов 20
1.8 Типовая структура и функции электронной информационно-образова-тельной среды вузов 23
2 Методика тестирования на проникновение электронной информационно-образовательной среды 30
2.1 Общая характеристика методики тестирования на проникновение
электронной информационно-образовательной среды 30
2.2 Сканирование с помощью nmap 32
2.3 Сбор информации об используемых веб-технологиях 34
2.4 Сбор информации о процедуре аутентификации и способе идентифи¬кации сессии 36
2.5 Перечисление веб-страниц и поиск точек ввода информации 39
2.6 Проверка возможности эксплуатации известных уязвимостей ПО 45
2.7 Тестирование аутентификации и управления сессиями 47
2.8 Тестирование контроля входных данных. Тестирование хранимых
межсайтовых скриптов (Stored XSS) 52
2.9 Тестирование контроля входных данных. SQL-инъекции 54
2.10 Тестирование контроля входных данных. Уязвимости при доступе к
файлам 61
2.11 Тестирование загрузки файлов непредусмотренных типов 65
2.12 Загрузка программы для управления сервером 66
2.13 Тестирование на стороне клиента. XSS в DOM-модели 70
2.14 Тестирование на стороне клиента. HTML-инъекции 71
2.15 Тестирование перенаправления URL на стороне клиента 72
2.16 Рекомендации по составлению отчетности о тестировании на про-никновение ЭИОС вуза 73
3 Вредные психофизиологические факторы, влияющие на психоэмоциональное состояние специалиста по защите информации. Методы и средства физической
культуры, снижающие их воздействие 74
Заключение 81
Список использованных источников 82
Приложение А Результаты сравнительного анализа стандартов и методик тести¬
рования на проникновение 86
Приложение Б Классификация инструментальных средств, позволяющих осу¬ществить тестирование на проникновение информационной системы с веб-сер-
висами 88
Приложение В Основные функции компонентов электронной информационно-образовательная среды вузов 90
Приложение Г Методика тестирования на проникновение ЭИОС вузов 92
Приложение Д Блок-схема алгоритма сбора информации 95
Приложение Е Блок-схема алгоритма поиска уязвимостей 97
1 Исследование процедуры тестирования на проникновение 6
1.1 Обзор существующих стандартов и методик тестирования на проник-новение 6
1.2 Обзор инструментов 12
1.3 Обзор инструментов. Инструменты для сбора информации о веб-сер¬висе и структуре веб-сайта 13
1.4 Обзор инструментов. Инструменты для анализа HTTP трафика 15
1.5 Обзор инструментов. Инструменты для ручной отправки запросов на
сервер 17
1.6 Обзор инструментов. Автоматические сканеры уязвимостей 18
1.7 Обзор инструментов. Многофункциональные инструменты для тести-рования на проникновение веб-сервисов 20
1.8 Типовая структура и функции электронной информационно-образова-тельной среды вузов 23
2 Методика тестирования на проникновение электронной информационно-образовательной среды 30
2.1 Общая характеристика методики тестирования на проникновение
электронной информационно-образовательной среды 30
2.2 Сканирование с помощью nmap 32
2.3 Сбор информации об используемых веб-технологиях 34
2.4 Сбор информации о процедуре аутентификации и способе идентифи¬кации сессии 36
2.5 Перечисление веб-страниц и поиск точек ввода информации 39
2.6 Проверка возможности эксплуатации известных уязвимостей ПО 45
2.7 Тестирование аутентификации и управления сессиями 47
2.8 Тестирование контроля входных данных. Тестирование хранимых
межсайтовых скриптов (Stored XSS) 52
2.9 Тестирование контроля входных данных. SQL-инъекции 54
2.10 Тестирование контроля входных данных. Уязвимости при доступе к
файлам 61
2.11 Тестирование загрузки файлов непредусмотренных типов 65
2.12 Загрузка программы для управления сервером 66
2.13 Тестирование на стороне клиента. XSS в DOM-модели 70
2.14 Тестирование на стороне клиента. HTML-инъекции 71
2.15 Тестирование перенаправления URL на стороне клиента 72
2.16 Рекомендации по составлению отчетности о тестировании на про-никновение ЭИОС вуза 73
3 Вредные психофизиологические факторы, влияющие на психоэмоциональное состояние специалиста по защите информации. Методы и средства физической
культуры, снижающие их воздействие 74
Заключение 81
Список использованных источников 82
Приложение А Результаты сравнительного анализа стандартов и методик тести¬
рования на проникновение 86
Приложение Б Классификация инструментальных средств, позволяющих осу¬ществить тестирование на проникновение информационной системы с веб-сер-
висами 88
Приложение В Основные функции компонентов электронной информационно-образовательная среды вузов 90
Приложение Г Методика тестирования на проникновение ЭИОС вузов 92
Приложение Д Блок-схема алгоритма сбора информации 95
Приложение Е Блок-схема алгоритма поиска уязвимостей 97
Все большую популярность в сфере предоставлении услуг населению приобретают веб-сервисы[1]. Предоставление электронных услуг посредством веб-сервисов сопряжено с определенными рисками, так как атаки на веб-приложения — один из наиболее популярных методов кибер атак. По данным исследования ведущего разработчика решений для информационной безопасности Positive Technologies, 17% от общего числа атак пришлось на эксплуатацию уязвимостей и недостатков защиты веб-приложений.
Злоумышленники могут использовать скомпрометированные сайты в различных целях: для распространения вредоносного ПО, кражи конфиденциальных данных, несанкционированного внедрения информации, для мошенничества или проникновения во внутреннюю инфраструктуру компании.[2]
В последнее время возрос интерес к проведению тестирования на проникновение, в том числе и к проведению тестирования на проникновение систем с веб-сервисами, потому, что именно тестирование на проникновение позволяет выявить способность информационной системы противостоять реальным атакам. Появились научные работы разного уровня, ставящие своей целью описание, систематизацию и классификацию методик проведения данной процедуры. Предпринимаются попытки выработать системный подход к тестированию на проникновение.
Однако работы, описывающие тестирование на проникновение отдельных типов информационных систем с веб-сервисами в специальной литературе представлены слабо. В то время, как данные системы приобретают все большее распространение в разных сферах человеческой деятельности, в том числе и в системе образования.
Архитектура электронных обучающих систем может быть представлена как базовая платформа, с которой интегрируются управленческие базы данных, а также специфические сервисы и учебные материалы, в том числе веб-сервисы, доступные через сеть Интернет[3].
Включение в данную обучающую среду веб-сервисов повышает риск нарушения целостности доступности и конфиденциальности информации, содержащейся в данной системе.
Тестирование на проникновение позволяет выявить способность информационной системы противостоять реальным атакам, поэтому для выпускной квалификационной работы была выбрана тема исследования: Методика тестирования на проникновения электронной информационно-образовательной среды вузов.
Цель работы: разработка методики и выбор инструментальных средств тестирования на проникновение электронной информационно-образовательной среды вузов.
Для реализации поставленной цели были определены следующие задачи:
— выполнить обзор существующих стандартов и методик тестирования на проникновение;
— осуществить обзор инструментальных средств для тестирования на проникновение систем с веб-сервисами;
— определить структуру и функции типовой электронной информационно-образовательной среды;
— выбрать инструментальные средства для тестирования на проникновение электронной информационно-образовательной среды;
— разработать методику тестирования на проникновение электронной информационно-образовательной среды.
Злоумышленники могут использовать скомпрометированные сайты в различных целях: для распространения вредоносного ПО, кражи конфиденциальных данных, несанкционированного внедрения информации, для мошенничества или проникновения во внутреннюю инфраструктуру компании.[2]
В последнее время возрос интерес к проведению тестирования на проникновение, в том числе и к проведению тестирования на проникновение систем с веб-сервисами, потому, что именно тестирование на проникновение позволяет выявить способность информационной системы противостоять реальным атакам. Появились научные работы разного уровня, ставящие своей целью описание, систематизацию и классификацию методик проведения данной процедуры. Предпринимаются попытки выработать системный подход к тестированию на проникновение.
Однако работы, описывающие тестирование на проникновение отдельных типов информационных систем с веб-сервисами в специальной литературе представлены слабо. В то время, как данные системы приобретают все большее распространение в разных сферах человеческой деятельности, в том числе и в системе образования.
Архитектура электронных обучающих систем может быть представлена как базовая платформа, с которой интегрируются управленческие базы данных, а также специфические сервисы и учебные материалы, в том числе веб-сервисы, доступные через сеть Интернет[3].
Включение в данную обучающую среду веб-сервисов повышает риск нарушения целостности доступности и конфиденциальности информации, содержащейся в данной системе.
Тестирование на проникновение позволяет выявить способность информационной системы противостоять реальным атакам, поэтому для выпускной квалификационной работы была выбрана тема исследования: Методика тестирования на проникновения электронной информационно-образовательной среды вузов.
Цель работы: разработка методики и выбор инструментальных средств тестирования на проникновение электронной информационно-образовательной среды вузов.
Для реализации поставленной цели были определены следующие задачи:
— выполнить обзор существующих стандартов и методик тестирования на проникновение;
— осуществить обзор инструментальных средств для тестирования на проникновение систем с веб-сервисами;
— определить структуру и функции типовой электронной информационно-образовательной среды;
— выбрать инструментальные средства для тестирования на проникновение электронной информационно-образовательной среды;
— разработать методику тестирования на проникновение электронной информационно-образовательной среды.
В ходе выполнения выпускной квалификационной работы был выполнен обзор существующих стандартов и методик тестирования на проникновение и обоснована актуальность разработки методики тестирования на проникновение электронной информационной образовательной среды вузов.
В процессе работы была определена структура и функции типовой электронной информационной образовательной среды вузов и разработана методика тестирования на проникновение электронной информационной образовательной среды высших учебных заведений.
Результатом выпускной квалификационной работы является методика тестирования на проникновение электронной информационной образовательной среды высших учебных заведений. Методика содержит алгоритм сбора информации об ЭИОС вуза, алгоритм поиска уязвимостей в ЭИОС вуза, рекомендации по составлению отчетности о тестировании на проникновение ЭИОС вуза. В алгоритме сбора информации об ЭИОС вуза отражены способы получения информации об используемом в ЭИОС вуза программном обеспечении и вебтехнологиях, пути определения точек ввода информации в ЭИОС вуза. Алгоритм поиска уязвимостей содержит тестирование аутентификации и управления сессиями, тестирование контроля входных данных, тестирование на стороне клиента.
Также был осуществлен выбор инструментальных средств используемых для проведения процедуры тестирования на проникновение информационной образовательной среды вузов и описан способ их применения.
Таким образом, задание на выпускную квалификационную работу выполнено в полном объеме.
В процессе работы была определена структура и функции типовой электронной информационной образовательной среды вузов и разработана методика тестирования на проникновение электронной информационной образовательной среды высших учебных заведений.
Результатом выпускной квалификационной работы является методика тестирования на проникновение электронной информационной образовательной среды высших учебных заведений. Методика содержит алгоритм сбора информации об ЭИОС вуза, алгоритм поиска уязвимостей в ЭИОС вуза, рекомендации по составлению отчетности о тестировании на проникновение ЭИОС вуза. В алгоритме сбора информации об ЭИОС вуза отражены способы получения информации об используемом в ЭИОС вуза программном обеспечении и вебтехнологиях, пути определения точек ввода информации в ЭИОС вуза. Алгоритм поиска уязвимостей содержит тестирование аутентификации и управления сессиями, тестирование контроля входных данных, тестирование на стороне клиента.
Также был осуществлен выбор инструментальных средств используемых для проведения процедуры тестирования на проникновение информационной образовательной среды вузов и описан способ их применения.
Таким образом, задание на выпускную квалификационную работу выполнено в полном объеме.
Подобные работы
- ИСПОЛЬЗОВАНИЕ МЕТОДОВ ЭКСПРЕСС-ДИАГНОСТИКИ ДЛЯ
ПРОФИЛАКТИКИ НАРКОМАНИИ В ОБРАЗОВАТЕЛЬНОЙ СРЕДЕ
Бакалаврская работа, документоведение. Язык работы: Русский. Цена: 4000 р. Год сдачи: 2017 - ОБУЧЕНИЕ СКЛОНЕНИЮ ЧИСЛИТЕЛЬНЫХ РУССКОГО ЯЗЫКА В КИТАЙСКОЙ АУДИТОРИИ
Магистерская диссертация, филология. Язык работы: Русский. Цена: 4900 р. Год сдачи: 2019 - Влияние компьютерных упражнений на развитие интеллекта
подростков
Дипломные работы, ВКР, психология. Язык работы: Русский. Цена: 4790 р. Год сдачи: 2020 - ОЦЕНКА ЭФФЕКТИВНОСТИ ВНЕДРЕНИЯ АНАЛИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Дипломные работы, ВКР, менеджмент. Язык работы: Русский. Цена: 4240 р. Год сдачи: 2018 - РАЗВИТИЕ УМЕНИЙ И НАВЫКОВ БЕСПЕРЕВОДНОГО ЧТЕНИЯ НА АНГЛИЙСКОМ ЯЗЫКЕ (НА ПРИМЕРЕ ТЕКСТОВ ДЛЯ 7 КЛАССА)
Дипломные работы, ВКР, педагогика. Язык работы: Русский. Цена: 4230 р. Год сдачи: 2018 - МЕТОДИКА РАЗРАБОТКИ И ИСПОЛЬЗОВАНИЯ
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ В ОБУЧЕНИИ СТУДЕНТОВ
ОСНОВАМ ЖИВОПИСИ
Дипломные работы, ВКР, дизайн. Язык работы: Русский. Цена: 4760 р. Год сдачи: 2016 - Страноведческий аспект в обучении английскому языку в средней общеобразовательной школе
Бакалаврская работа, английский язык. Язык работы: Русский. Цена: 5900 р. Год сдачи: 2018 - Разработка комплекса упражнений с применением компьютерных технологий для повышения качества изучения лексики английского языка
Дипломные работы, ВКР, методика преподавания. Язык работы: Русский. Цена: 1200 р. Год сдачи: 2024