📄Работа №162985
Тема: МЕТОДИКА ТЕСТИРОВАНИЯ НА ПРОНИКНОВЕНИЕ ЭЛЕКТРОННОЙ ИНФОРМАЦИОННО-ОБРАЗОВАТЕЛЬНОЙ СРЕДЫ ВУЗОВ
Тип работы
Дипломные работы, ВКР
Предмет
информационная безопасность
Объем:
96 листов
Год:
2023
Просмотров:
70
4650
руб.
🛒 Купить работу
Не подходит эта работа?
Закажите новую по вашим требованиям
Узнать цену на написание
Закажите новую по вашим требованиям
Представленный материал является образцом учебного исследования, примером структуры и содержания учебного исследования по заявленной теме. Размещён исключительно в информационных и ознакомительных целях.
Workspay.ru оказывает информационные услуги по сбору, обработке и структурированию материалов в соответствии с требованиями заказчика.
Размещение материала не означает публикацию произведения впервые и не предполагает передачу исключительных авторских прав третьим лицам.
Материал не предназначен для дословной сдачи в образовательные организации и требует самостоятельной переработки с соблюдением законодательства Российской Федерации об авторском праве и принципов академической добросовестности.
Авторские права на исходные материалы принадлежат их законным правообладателям. В случае возникновения вопросов, связанных с размещённым материалом, просим направить обращение через форму обратной связи.
Настоящий учебно-методический информационный материал размещён в ознакомительных и исследовательских целях и представляет собой пример учебного исследования. Не является готовым научным трудом и требует самостоятельной переработки.
📋 Содержание
Введение 4
1 Исследование процедуры тестирования на проникновение 6
1.1 Обзор существующих стандартов и методик тестирования на проник-новение 6
1.2 Обзор инструментов 12
1.3 Обзор инструментов. Инструменты для сбора информации о веб-сер¬висе и структуре веб-сайта 13
1.4 Обзор инструментов. Инструменты для анализа HTTP трафика 15
1.5 Обзор инструментов. Инструменты для ручной отправки запросов на
сервер 17
1.6 Обзор инструментов. Автоматические сканеры уязвимостей 18
1.7 Обзор инструментов. Многофункциональные инструменты для тести-рования на проникновение веб-сервисов 20
1.8 Типовая структура и функции электронной информационно-образова-тельной среды вузов 23
2 Методика тестирования на проникновение электронной информационно-образовательной среды 30
2.1 Общая характеристика методики тестирования на проникновение
электронной информационно-образовательной среды 30
2.2 Сканирование с помощью nmap 32
2.3 Сбор информации об используемых веб-технологиях 34
2.4 Сбор информации о процедуре аутентификации и способе идентифи¬кации сессии 36
2.5 Перечисление веб-страниц и поиск точек ввода информации 39
2.6 Проверка возможности эксплуатации известных уязвимостей ПО 45
2.7 Тестирование аутентификации и управления сессиями 47
2.8 Тестирование контроля входных данных. Тестирование хранимых
межсайтовых скриптов (Stored XSS) 52
2.9 Тестирование контроля входных данных. SQL-инъекции 54
2.10 Тестирование контроля входных данных. Уязвимости при доступе к
файлам 61
2.11 Тестирование загрузки файлов непредусмотренных типов 65
2.12 Загрузка программы для управления сервером 66
2.13 Тестирование на стороне клиента. XSS в DOM-модели 70
2.14 Тестирование на стороне клиента. HTML-инъекции 71
2.15 Тестирование перенаправления URL на стороне клиента 72
2.16 Рекомендации по составлению отчетности о тестировании на про-никновение ЭИОС вуза 73
3 Вредные психофизиологические факторы, влияющие на психоэмоциональное состояние специалиста по защите информации. Методы и средства физической
культуры, снижающие их воздействие 74
Заключение 81
Список использованных источников 82
Приложение А Результаты сравнительного анализа стандартов и методик тести¬
рования на проникновение 86
Приложение Б Классификация инструментальных средств, позволяющих осу¬ществить тестирование на проникновение информационной системы с веб-сер-
висами 88
Приложение В Основные функции компонентов электронной информационно-образовательная среды вузов 90
Приложение Г Методика тестирования на проникновение ЭИОС вузов 92
Приложение Д Блок-схема алгоритма сбора информации 95
Приложение Е Блок-схема алгоритма поиска уязвимостей 97
1 Исследование процедуры тестирования на проникновение 6
1.1 Обзор существующих стандартов и методик тестирования на проник-новение 6
1.2 Обзор инструментов 12
1.3 Обзор инструментов. Инструменты для сбора информации о веб-сер¬висе и структуре веб-сайта 13
1.4 Обзор инструментов. Инструменты для анализа HTTP трафика 15
1.5 Обзор инструментов. Инструменты для ручной отправки запросов на
сервер 17
1.6 Обзор инструментов. Автоматические сканеры уязвимостей 18
1.7 Обзор инструментов. Многофункциональные инструменты для тести-рования на проникновение веб-сервисов 20
1.8 Типовая структура и функции электронной информационно-образова-тельной среды вузов 23
2 Методика тестирования на проникновение электронной информационно-образовательной среды 30
2.1 Общая характеристика методики тестирования на проникновение
электронной информационно-образовательной среды 30
2.2 Сканирование с помощью nmap 32
2.3 Сбор информации об используемых веб-технологиях 34
2.4 Сбор информации о процедуре аутентификации и способе идентифи¬кации сессии 36
2.5 Перечисление веб-страниц и поиск точек ввода информации 39
2.6 Проверка возможности эксплуатации известных уязвимостей ПО 45
2.7 Тестирование аутентификации и управления сессиями 47
2.8 Тестирование контроля входных данных. Тестирование хранимых
межсайтовых скриптов (Stored XSS) 52
2.9 Тестирование контроля входных данных. SQL-инъекции 54
2.10 Тестирование контроля входных данных. Уязвимости при доступе к
файлам 61
2.11 Тестирование загрузки файлов непредусмотренных типов 65
2.12 Загрузка программы для управления сервером 66
2.13 Тестирование на стороне клиента. XSS в DOM-модели 70
2.14 Тестирование на стороне клиента. HTML-инъекции 71
2.15 Тестирование перенаправления URL на стороне клиента 72
2.16 Рекомендации по составлению отчетности о тестировании на про-никновение ЭИОС вуза 73
3 Вредные психофизиологические факторы, влияющие на психоэмоциональное состояние специалиста по защите информации. Методы и средства физической
культуры, снижающие их воздействие 74
Заключение 81
Список использованных источников 82
Приложение А Результаты сравнительного анализа стандартов и методик тести¬
рования на проникновение 86
Приложение Б Классификация инструментальных средств, позволяющих осу¬ществить тестирование на проникновение информационной системы с веб-сер-
висами 88
Приложение В Основные функции компонентов электронной информационно-образовательная среды вузов 90
Приложение Г Методика тестирования на проникновение ЭИОС вузов 92
Приложение Д Блок-схема алгоритма сбора информации 95
Приложение Е Блок-схема алгоритма поиска уязвимостей 97
📖 Введение
Все большую популярность в сфере предоставлении услуг населению приобретают веб-сервисы[1]. Предоставление электронных услуг посредством веб-сервисов сопряжено с определенными рисками, так как атаки на веб-приложения — один из наиболее популярных методов кибер атак. По данным исследования ведущего разработчика решений для информационной безопасности Positive Technologies, 17% от общего числа атак пришлось на эксплуатацию уязвимостей и недостатков защиты веб-приложений.
Злоумышленники могут использовать скомпрометированные сайты в различных целях: для распространения вредоносного ПО, кражи конфиденциальных данных, несанкционированного внедрения информации, для мошенничества или проникновения во внутреннюю инфраструктуру компании.[2]
В последнее время возрос интерес к проведению тестирования на проникновение, в том числе и к проведению тестирования на проникновение систем с веб-сервисами, потому, что именно тестирование на проникновение позволяет выявить способность информационной системы противостоять реальным атакам. Появились научные работы разного уровня, ставящие своей целью описание, систематизацию и классификацию методик проведения данной процедуры. Предпринимаются попытки выработать системный подход к тестированию на проникновение.
Однако работы, описывающие тестирование на проникновение отдельных типов информационных систем с веб-сервисами в специальной литературе представлены слабо. В то время, как данные системы приобретают все большее распространение в разных сферах человеческой деятельности, в том числе и в системе образования.
Архитектура электронных обучающих систем может быть представлена как базовая платформа, с которой интегрируются управленческие базы данных, а также специфические сервисы и учебные материалы, в том числе веб-сервисы, доступные через сеть Интернет[3].
Включение в данную обучающую среду веб-сервисов повышает риск нарушения целостности доступности и конфиденциальности информации, содержащейся в данной системе.
Тестирование на проникновение позволяет выявить способность информационной системы противостоять реальным атакам, поэтому для выпускной квалификационной работы была выбрана тема исследования: Методика тестирования на проникновения электронной информационно-образовательной среды вузов.
Цель работы: разработка методики и выбор инструментальных средств тестирования на проникновение электронной информационно-образовательной среды вузов.
Для реализации поставленной цели были определены следующие задачи:
— выполнить обзор существующих стандартов и методик тестирования на проникновение;
— осуществить обзор инструментальных средств для тестирования на проникновение систем с веб-сервисами;
— определить структуру и функции типовой электронной информационно-образовательной среды;
— выбрать инструментальные средства для тестирования на проникновение электронной информационно-образовательной среды;
— разработать методику тестирования на проникновение электронной информационно-образовательной среды.
Злоумышленники могут использовать скомпрометированные сайты в различных целях: для распространения вредоносного ПО, кражи конфиденциальных данных, несанкционированного внедрения информации, для мошенничества или проникновения во внутреннюю инфраструктуру компании.[2]
В последнее время возрос интерес к проведению тестирования на проникновение, в том числе и к проведению тестирования на проникновение систем с веб-сервисами, потому, что именно тестирование на проникновение позволяет выявить способность информационной системы противостоять реальным атакам. Появились научные работы разного уровня, ставящие своей целью описание, систематизацию и классификацию методик проведения данной процедуры. Предпринимаются попытки выработать системный подход к тестированию на проникновение.
Однако работы, описывающие тестирование на проникновение отдельных типов информационных систем с веб-сервисами в специальной литературе представлены слабо. В то время, как данные системы приобретают все большее распространение в разных сферах человеческой деятельности, в том числе и в системе образования.
Архитектура электронных обучающих систем может быть представлена как базовая платформа, с которой интегрируются управленческие базы данных, а также специфические сервисы и учебные материалы, в том числе веб-сервисы, доступные через сеть Интернет[3].
Включение в данную обучающую среду веб-сервисов повышает риск нарушения целостности доступности и конфиденциальности информации, содержащейся в данной системе.
Тестирование на проникновение позволяет выявить способность информационной системы противостоять реальным атакам, поэтому для выпускной квалификационной работы была выбрана тема исследования: Методика тестирования на проникновения электронной информационно-образовательной среды вузов.
Цель работы: разработка методики и выбор инструментальных средств тестирования на проникновение электронной информационно-образовательной среды вузов.
Для реализации поставленной цели были определены следующие задачи:
— выполнить обзор существующих стандартов и методик тестирования на проникновение;
— осуществить обзор инструментальных средств для тестирования на проникновение систем с веб-сервисами;
— определить структуру и функции типовой электронной информационно-образовательной среды;
— выбрать инструментальные средства для тестирования на проникновение электронной информационно-образовательной среды;
— разработать методику тестирования на проникновение электронной информационно-образовательной среды.
✅ Заключение
В ходе выполнения выпускной квалификационной работы был выполнен обзор существующих стандартов и методик тестирования на проникновение и обоснована актуальность разработки методики тестирования на проникновение электронной информационной образовательной среды вузов.
В процессе работы была определена структура и функции типовой электронной информационной образовательной среды вузов и разработана методика тестирования на проникновение электронной информационной образовательной среды высших учебных заведений.
Результатом выпускной квалификационной работы является методика тестирования на проникновение электронной информационной образовательной среды высших учебных заведений. Методика содержит алгоритм сбора информации об ЭИОС вуза, алгоритм поиска уязвимостей в ЭИОС вуза, рекомендации по составлению отчетности о тестировании на проникновение ЭИОС вуза. В алгоритме сбора информации об ЭИОС вуза отражены способы получения информации об используемом в ЭИОС вуза программном обеспечении и вебтехнологиях, пути определения точек ввода информации в ЭИОС вуза. Алгоритм поиска уязвимостей содержит тестирование аутентификации и управления сессиями, тестирование контроля входных данных, тестирование на стороне клиента.
Также был осуществлен выбор инструментальных средств используемых для проведения процедуры тестирования на проникновение информационной образовательной среды вузов и описан способ их применения.
Таким образом, задание на выпускную квалификационную работу выполнено в полном объеме.
В процессе работы была определена структура и функции типовой электронной информационной образовательной среды вузов и разработана методика тестирования на проникновение электронной информационной образовательной среды высших учебных заведений.
Результатом выпускной квалификационной работы является методика тестирования на проникновение электронной информационной образовательной среды высших учебных заведений. Методика содержит алгоритм сбора информации об ЭИОС вуза, алгоритм поиска уязвимостей в ЭИОС вуза, рекомендации по составлению отчетности о тестировании на проникновение ЭИОС вуза. В алгоритме сбора информации об ЭИОС вуза отражены способы получения информации об используемом в ЭИОС вуза программном обеспечении и вебтехнологиях, пути определения точек ввода информации в ЭИОС вуза. Алгоритм поиска уязвимостей содержит тестирование аутентификации и управления сессиями, тестирование контроля входных данных, тестирование на стороне клиента.
Также был осуществлен выбор инструментальных средств используемых для проведения процедуры тестирования на проникновение информационной образовательной среды вузов и описан способ их применения.
Таким образом, задание на выпускную квалификационную работу выполнено в полном объеме.
ИЛИ
Поиск аналога
📕 Список литературы
🖼 Скриншоты
🛒 Оформить заказ
⚡ Работу высылаем в течении 5 минут после оплаты.