Тип работы:
 Предмет:
 Язык работы:


ЭКСПЕРИМЕНТАЛЬНАЯ ОЦЕНКА ЭФФЕКТИВНОСТИ ПРОТИВОДЕЙСТВИЯ МЕЖСЕТЕВОГО ЭКРАНА АТАКАМ НА WEB-ПРИЛОЖЕНИЯ

Работа №187930

Тип работы

Дипломные работы, ВКР

Предмет

информатика

Объем работы46
Год сдачи2025
Стоимость4600 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
13
Не подходит работа?

Узнай цену на написание


Аннотация
ГЛОССАРИЙ 4
Введение 5
1 Рассматриваемое веб-приложение 7
1.1 Развёртывание Juice Shop 9
1.2 Настройка Postman 10
1.3 Опорные запросы 11
1.3.1 Запрос Register 11
1.3.2 Атака AdminRegister 12
1.3.3 Запрос Login 13
1.3.4 Запрос Captcha 14
2 Обзор актуальных атак 15
2.1 Атаки XSS (Cross-Site Scripting) 15
2.1.1 Атака ReflectedXSS 15
2.1.2 Атака StoredHeaderXSS 16
2.1.3 Атака StoredProductXSS 17
2.1.3 Атака StoredUserXSS 18
2.1.4 Атака DOM XSS 18
2.2 SQL-инъекции 20
2.2.1 Атака AdminLogin 20
2.2.2 Атака ImpedanceMismatch 21
2.2.3 Атака DatabaseSchema 22
2.2.4 Атака ParamsOverflow 23
2.2.5 Атака EphemeralAccountant 24
2.3 Атаки broken access control 24
2.3.1 Атака CSRF (Cross-Site Request Forgery) 25
2.3.2 Атака ForgedReview 26
2.3.3 Атака ForgedFeedback 26
2.3.4 Атака ChangeDescription 28
2.3.5 Атака AddToAnotherBasket 28
3 Рассматриваемый WAF 30
3.1 OWASP Modsecurity и OWASP CRS 30
3.2 Развёртывание Modsecurity 31
3.3 Результаты проведения атак со включенным Modsecurity 33
3.3.1 Блокировка StoredHeaderXSS 35
3.3.2 Блокировка AdminLogin 36
3.3.3 Блокировка DOM XSS 36
4 Инструмент для анализа логов 37
ЗАКЛЮЧЕНИЕ 40
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 41


В современном мире веб-приложения играют ключевую роль в обеспечении доступа к услугам, это может быть всё, что угодно - новостной портал, видеохостинг, форум, корпоративный портал и подобные сервисы. Однако популярность делает их привлекательной мишенью для кибератак. Веб-приложения остаются одним из основных векторов для атак, а их доля в инцидентах безопасности неуклонно растёт [2]. Уязвимости по типу SQL- инъекций, межсайтового скриптинга (XSS) и подобные, продолжают представлять серьезную угрозу, что подтверждается списком из 10 самых критичных угроз для веб-приложения OWASP Top Ten [3]. В этой работе будет рассмотрена ситуация, когда немедленное исправление всех уязвимостей в коде не представляется возможным, а защита веб-приложений является приоритетной задачей.
Одной из опций для минимизации вероятности эксплуатации уязвимостей веб-приложения является использование WAF. WAF выступает в качестве посредника между веб-приложением и внешним трафиком, в ходе фильтрации трафика он обнаруживает и блокирует запросы с подозрительным содержанием на основе заданных ему правил и сигнатур [4]. Из этого вытекает, что его эффективность зависит от правильной настройки и общей области покрытия правил для обнаружения угроз. Нередко WAF рассматривается как универсальное средство защиты, хотя исследования показывают, что он не всегда способен полностью закрыть уязвимости, особенно связанные с логикой приложения [5].
Цель данной работы — оценить эффективность противодействия межсетевого экрана прикладного уровня на web-приложения.
Для достижения этой цели были поставлены следующие задачи:
1. Провести обзор актуальных атак на веб-приложения.
2. Построить экспериментальный стенд для проведения атак.
3. Разработать инструмент анализа логов межсетевого экрана прикладного уровня.
4. Оценить эффективность межсетевого экрана прикладного уровня на противодействие атакам.
Актуальность исследования обусловлена постоянным ростом числа кибератак и необходимостью наличия у современных веб-приложений эффективных инструментов защиты.


Возникли сложности?

Нужна помощь преподавателя?

Помощь в написании работ!
ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ
КУРСОВЫЕ СТАТЬИ ВКР

Таким образом, можно сделать вывод, что WAF Modsecurity, реализующий актуальный набор правил OWASP CRS, способен закрыть большинство уязвимостей из списка OWASP Top Ten. По результатам, 12 из 15 рассмотренных типов атак были заблокированы сразу, а возможность создавать пользовательские правила позволила защитить ещё от двух атак, которые пользовались несовершенностью конкретного веб-приложения. Это делает его крайне сильным инструментом для защиты веб-приложения, однако, если атака выполняется без участия веб-сервера, то WAF становится абсолютно бессилен, как и было продемонстрировано на примере атаки DOM XSS.
Для проведения исследования, а также для упрощения подобных исследований в будущем, был разработан инструмент анализа логов WAF, благодаря которому был выявлен факт ложных срабатываний.


1. Обзор рынка защиты веб-приложений (WAF) — 2024 [Электронный ресурс]
URL: https://www.anti-malware.ru/analytics/Market_Analysis/Web-Application-
Firewall-2024#part1 (дата обращения 16.10.2024).
2. 2024 Data Breach Investigations Report | Verizon / D. Hylender, P. Langlois, A. Pinto, S. Widup https://www.verizon.com/business/resources/reports/2024-dbir- data-breach-investigations-report.pdf, 2024. - 100 с.
3. OWASP Top Ten | OWASP Foundation [Электронный ресурс] URL: https://owasp.org/www-project-top-ten/ (дата обращения 16.10.2024).
4. Web Application Firewall / Хабр [Электронный ресурс] URL:
https://habr.com/ru/companies/otus/articles/733142/ (дата обращения 16.10.2024).
5. WAF глазами хакеров / Хабр [Электронный ресурс] URL:
https://habr.com/ru/companies/dsec/articles/340144/ (дата обращения
16.10.2024) .
6. OWASP Juice Shop: Probably the most modern and sophisticated insecure web application [Электронный ресурс] URL: https://github.com/juice-shop/juice- shop?ysclid=matxyduoda787635737 (дата обращения 20.10.2024).
7. Challenge solutions • Pwning OWASP Juice Shop [Электронный ресурс] URL:
https://help.owasp-juice.shop/appendix/solutions.html (дата обращения
21.10.2024) .
8. Docker: Accelerated Container Application Development [Электронный ресурс] URL: https://www.docker.com/ (дата обращения 25.10.2024).
9. Postman: The World's Leading API Platform [Электронный ресурс] URL: https://www.postman.com/ (дата обращения 10.12.2024).
10. Что такое XSS-уязвимость и как тестировщику не пропустить ее / Хабр
[Электронный ресурс] URL: https://habr.com/ru/articles/511318/ (дата
обращения 15.11.2024).
11. Первое знакомство с SQL-инъекциями / Хабр [Электронный ресурс] URL:
https://habr.com/ru/companies/ruvds/articles/553066/ (дата обращения
17.11.2024) .
12. Все, что нужно знать про «Broken access control» / Хабр [Электронный ресурс] URL: https://habr.com/ru/articles/654769/ (дата обращения 21.11.2024).
13. Modsecurity Project [Электронный ресурс] URL: https://modsecurity.org/ (дата обращения 20.12.2024).
14. OWASP CRS | OWASP Foundation [Электронный ресурс] URL:
https://owasp. org/www-proj ect-modsecurity-core-rule-set/ (дата обращения
22.12.2024) .
15. Docker Compose | Docker Docs [Электронный ресурс] URL:
https://docs.docker.com/compose/ (дата обращения 18.03.2025).
16. Моисеев А.Н. Основы языка UML : учеб. пособие / А.Н. Моисеев, М.И.
Литовченко. - Томск : Издательство Томского государственного
университета, 2023 - 96 с.
Содержание
Содержание
Рассматриваемое веб-приложение

Работу высылаем на протяжении 30 минут после оплаты.




©2025 Cервис помощи студентам в выполнении работ
.