📄Работа №75221

Тема: Разработка схемы защиты от межсайтового скриптинга

📝
Тип работы Бакалаврская работа
📚
Предмет информатика
📄
Объем: 85 листов
📅
Год: 2018
👁️
Просмотров: 354
4900 руб.
🛒 Купить работу
Не подходит эта работа?
Закажите новую по вашим требованиям
Узнать цену на написание
ℹ️ Настоящий учебно-методический информационный материал размещён в ознакомительных и исследовательских целях и представляет собой пример учебного исследования. Не является готовым научным трудом и требует самостоятельной переработки.
📋 Содержание 📖 Введение ✅ Заключение 📕 Литература 🔍 Похожие 🛒 Купить

📋 Содержание

ВВЕДЕНИЕ 9
Глава 1 Особенности защиты от XSS-атак на веб-приложения 12
1.1 Концепция и виды межсайтового скриптинга (XSS) 12
1.2 Описание и схемы реализаций атак, использующих XSS-уязвимости 15
1.3 Способы защиты от межсайтового скриптинга 19
1.4 Анализ существующих решений на рынке 20
1.5 Анализ и выбор средств реализации проекта 23
1.6 Вывод по 1 главе 29
Глава 2 Обнаружение XSS-уязвимостей на основе анализа полной карты веб-приложения 31
2.1 Разработка алгоритмов обнаружения XSS-уязвимостей 31
2.2 Описание разработки программных компонентов 36
2.3 Описание функционала разрабатываемого программного обеспечения 39
2.4 Руководство пользователя 42
2.5 Выводы по 2 главе 44
Глава 3 Результаты практического применения 45
3.1 Тестирование разработанного ПО и аналогичных решений 45
3.2 Расчет экономической эффективности 47
3.3 Эргономика проектного решения 50
3.4 Пути дальнейшего совершенствования 56
3.5 Вывод по 3 главе 56
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 59
ПРИЛОЖЕНИЕ

📖 Введение

Обеспечение информационной безопасности (ИБ) вычислительных систем является одной из приоритетных задач, решаемой любой организацией, в хозяйственной деятельности которой применяются алгоритмы сбора, обработки, хранения, передачи информации. Среди множества угроз ИБ существует категория негативных воздействий, которые могут провоцировать сами пользователи информационных ресурсов компании, подвергая опасности внутреннюю вычислительную сеть и в нее входящие устройства. Эти угрозы стали возможны благодаря широкому распространению сети Интернет.
При этом десять лет назад большинство веб-приложений были статическими и не имели интерактивных интерфейсов взаимодействия с пользователями. В них почти не было уязвимостей, которые могли быть использованы нарушителями. Поэтому многие веб-разработчики игнорировали вопросы безопасности веб-приложений. Однако на сегодняшний день существуют миллионы динамических веб-сайтов с множеством новых технологий, которые выполняются и используются в веб-браузерах. Данные технологии позволяют подключать к веб-приложениям различные модули, которые усиливают взаимодействие посетителей с веб-ресурсом (например, доски объявлений, формы обратной связи и т.д.).
Однако эти новшества имеют и отрицательную сторону. Динамические веб-сайты обеспечивают хорошую платформу нарушителям для внедрения вредоносного кода. С помощью внедренного кода нарушитель может получить доступ к данным авторизации пользователей и, выдавая себя за них, совершать противоправные действия как на локальных компьютерах пользователей, так и в сетевом оборудовании компании, меняя конфигурацию сети и программного обеспечения. Отсутствие должных мер по соблюдению правил и норм информационной безопасности приводит к появлению угроз, которые эксплуатируют уязвимости, связанные с внедрением кода. Тем самым подвергают компании большим финансовым и репутационным рискам.
Одним из таких видов компьютерных атак является межсайтовый скриптинг, в англоязычной литературе называемый - XSS (cross site scripting, x - используется в данной аббревиатуре для краткости, с - не используется, чтобы избежать путаницы с CSS) [1]. Межсайтовый скриптинг является одним из самых распространенных компьютерных атак, по версии OWASP (открытого проекта обеспечения безопасности веб-приложений) [2]. Об этом же свидетельствуют и результаты исследования компании Positive Technologies.

Возникли сложности?

Нужна качественная помощь преподавателя?

👨‍🎓 Помощь в написании
🎓 Дипломные 📘 Магистерские 📙 Диссертации 📗 Курсовые 📝 Статьи 📄 ВКР

✅ Заключение

При написании бакалаврской работы были проанализированы особенности проведения компьютерных атак вида «межсайтовый скриптинг». Также проведен анализ существующих программ предназначенных для обнаружения XSS-уязвимостей, результаты которого показали, что данные программы не в должной мере справляются с поставленными задачами, тем самым приводят к снижению уровня информационной безопасности веб-приложения.
На основе методики, основанной на последовательном применении наиболее эффективных алгоритмов обнаружения различных типов XSS, разработаны соответствующие алгоритмы поиска уязвимостей. Данные алгоритмы реализованы в виде соответствующего ПО, которое позволяет повысить эффективность защиты веб-приложения от XSS-атак. Программное обеспечение значительно упрощает процесс тестирования веб-ресурса разработчиком, благодаря функционалу формирования отчета с рекомендациями по устранению найденных XSS.
Также разработанное программное обеспечение успешно апробировано в ООО Н1П1 «ДосЛаб», о чем свидетельствует соответствующий акт внедрения.
Экспериментально доказана конкурентоспособность разработанной программы. Проведенный анализ экономического эффекта показал, что внедрение разработанного программного обеспечения эффективно. Также были рассмотрены вопросы, связанные с техникой безопасности и охраной труда.
Результаты бакалаврской работы опубликованы в 3 печатных изданиях, один из которых входит в перечень ВАК. Работа была представлена и удостоена наград в следующих конкурсах:
- удостоена статуса финалиста в восемнадцатой всероссийской конкурс- конференции среди студентов и аспирантов по информационной безопасности «SIBINFO- 2018»;
- удостоена статуса победителя в конкурсе проектных работ имени академика А.А. Бочвара.

Нужна своя уникальная работа?
Срочная разработка под ваши требования
Рассчитать стоимость
ИЛИ
Поиск аналога

📕 Список литературы

1 Элхади А. М. Полное пособие по межсайтовому скриптингу // SecurityLab.ru [Электронный ресурс]. 11.12.2012. - URL: www.securitylab.ru/analytics/432835.php?R=1 (дата обращения 15.03.2018).
2 OWASP Top 10 - 2017 The Ten Most Critical Web Application Security Risks // OWASP the free and open software security community [Электронный ресурс]. 2017 - URL: www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf (дата обращения 20.03.2018).
3 Positive Research. Уязвимости веб-приложений: пора анализировать исходный
код // Positive Research Center [Электронный ресурс]. 08.08.2017 - URL:
www.blog.ptsecurity.ru/2017/08/web-attacks.html. (дата обращения 20.03.2018).
4 Евтеев Д. SQL Injection от А до Я // Positive Technologies [Электронный ресурс].
11.10.2014. - URL: www.ptsecurity.com/upload/corporate/ru-ru/analytics/PT-devteev-
Advanced-SQL-Injection.pdf (дата обращения 21.03.2018).
5 КБлог Свободного Вебмастера // Межсайтовый скриптинг, как защитить сайт от XSS атаки [Электронный ресурс]. 29.01.2018 - URL: https://webliberty.ru/xss/ (дата обращения 18.03.2018).
6 Klein A. Третий тип XSS: Межсайтовый скриптинг через DOM // SecurityLab.ru [Электронный ресурс]. 09.10.2006. - URL: https://www.securitylab.ru/analytics/275087.php (дата обращения 18.03.2018).
7 Berners-Lee T. Uniform Resource Locators // RFC 1738 - IETF [Электронный ресурс] - URL: www.ietf.org/rfc/rfc1738.txt (дата обращения 23.03.2018).
8 Do Son. Clickjacking Attack // Penetration Testing Security Training Share [Электронный ресурс] 27.07.2017. - URL: https://securityonline.info/clickjacking-attack/ (дата обращения 24.03.2018).
9 Cross-frame-scripting // OWASP the free and open software security community
[Электронный ресурс]. 22.06.2017. - URL:
www.owasp.org/index.php/Cross_Frame_Scripting (дата обращения 24.03.2018).
10 Types of XSS: Stored XSS, Reflected XSS and DOM-based XSS // Acunetix Blog [Электронный ресурс]. 17.01.2018. - URL: www.acunetix.com/websitesecurity/xss/ (дата обращения 22.03.2018).
11 Cross-site-scripting // OWASP the free and open software security community [Электронный ресурс]. 11.04.2009. - URL: www.owasp.org/index.php/Cross-site-scripting (дата обращения 25.03.2018).
12 How to write a XSS (cross site scripting) Worm for a McCodes Site // Hackbbs.org [Электронный ресурс]. 10.09.2017. - URL: ftp://hackbbs.org/milworm/272 (дата обращения 18.03.2018).
13 Mavituna F. XSS tunneling // Portcullis-security.com [Электронный ресурс]. 06.12.2016. - URL: https://labs.portcullis.co.uk/download/XSS-Tunnelling.pdf (дата обращения 18.03.2018).
14 DOM Based XSS // OWASP the free and open software security com-munity [Электронный ресурс]. 22.06.2017. - URL: www.owasp.org/index.php/DOM_Based_XSS (дата обращения 24.03.2018).
15 Mozilla Firefox // Mozilla Corporation [Электронный ресурс]. 18.03.2017. - URL: https://www.mozilla.org/ru/firefox/ (дата обращения 18.03.2018).
16 Fogie S., Grossman J., Hansen R., Rager A., Petkov P. XSS attacks: Cross Site Scripting exploits and defense - Seth Fogie, Oxford: Elsevier Limited, 2007. - 448 p.
17 CSP (Политика Защиты Контента) // MDN Web Docs [Электронный ресурс]. 21.12.2016. - URL: https://developer.mozilla.org/ru/docs/Web/Security/CSP (дата обращения 18.03.2018).
18 XSpider // Positive Technologies [Электронный ресурс]. 12.05.2013. - URL: www.ptsecurity.com/ru-ru/products/xspider/ (дата обращения 20.03.2018).
19 Nemesida Scanner // PENTESTIT [Электронный ресурс]. 03.01.2017. - URL: www.pentestit.ru/nemesida-scanner/ (дата обращения 20.03.2018).
20 Audit Your Web Security with Acunetix Vulnerability Scanner // Acunetix [Электронный ресурс]. 03.01.2017. - URL: www.acunetix.com/vulnerability-scanner/ (дата обращения 20.03.2018).
21 Джатана Н., Агравал А., Собти К. Пост-эксплуатация XSS: продвинутые методы
и способы защиты // SecurityLab.ru [Электронный ресурс]. 12.05.2013. - URL:
www.securitylab.ru/analytics/440187.php (дата обращения 30.03.2018).
22 Xenotix XSS Exploit Framework // OWASP [Электронный ресурс]. 22.06.2017. -
URL: www.owasp. org/index.php/OWASP_Xenotix_XSS_Exploit_F ramework (дата
обращения 24.03.2018).
23 Wapiti - сканер уязвимостей веб-приложений // DefconRU [Электронный ресурс]. 29.10.2015. - URL: https://defcon.ru/penetration-testing/1657/ (дата обращения 18.03.2018).
24 Чем толстый клиент отличается от тонкого? // Life 1C [Электронный ресурс]. 07.04.2015. - URL: http://life1c.ru/post/1285 (дата обращения 18.03.2018).
25 SQL Anywhere // Сайбес компания [Электронный ресурс]. 12.10.2016. - URL: https://www.sybase.ru/products/asa (дата обращения 18.03.2018).
26 InterBase // IBase.ru [Электронный ресурс]. 10.12.2015. - URL:
http://www.ibase.ru/interbase/ (дата обращения 18.03.2018).
27 Носиров З. А., Ажмухамедов И. М. Обнаружение XSS-уязвимостей на основе анализа полной карты веб-приложения // Системы управления, связи и безопасности. 2018. №1. С. 78-94. [Электронный ресурс]. - URL: http://sccs.intelgr.com/archive/2018- 01/03-Nosirov.pdf (дата обращения 13.03.2018).
28 Носиров З.А., Ажмухамедов И.М. Разработка программного обеспечения для выявления XSS-уязвимостей // Проблемы информационной безопасности. Т. 1 — Ростов- на-Дону: РГЭУ (РИНХ), 2018. — С. 216-221.
29 Эргономика рабочего места за компьютером. [Электронный ресурс]. URL: http://zdravyshka.ru/Poleznye-sovety/Sovety-vracha/ergonomika-rabochego-mesta-za- kompyuterom.html (дата обращения: 15.03.2018).
30 Техника безопасности и охрана труда на предприятии . [Электронный ресурс]. URL: http://outsourcing.yourbuhg.ru/autsorsing-ohrany/ohrana-truda-na-predpriatii.html (дата обращения: 20.03.2018).
31 Носиров З.А., Ажмухамедов И.М., Выборнова О.Н. Получение закрытой информации из открытых источников // Проблемы информационной безопасности. Т. 1 — Ростов-на-Дону: РГЭУ (РИНХ), 2018 — С. 154-157.
32 Носиров З.А., Ажмухамедов И.М., Марьенков А.Н. Разработка программного
обеспечения для обнаружения XSS-уязвимостей и выдачи рекомендаций по их устранению: свидетельство на ПрЭВМ № 2018610645; заявитель Носиров З.А.;
патентообладатели: Носиров З.А., Ажмухамедов И.М., Марьенков А.Н. - № 2017661927 заявл. 21.11.2017; опубл. 15.01.2018.
33 Носиров З.А. Инструмент для обнаружения вредоносного кода в системах управления контентом: свидетельство на ПрЭВМ № 2017662831; заявитель Носиров З.А.; патентообладатель: Носиров З.А. - № 2017619928 заявл. 26.09.2017; опубл. 17.11.2017.

🛒 Оформить заказ

Работу высылаем в течении 5 минут после оплаты.

🔍 ПОХОЖИЕ РАБОТЫ ПО ТЕМЕ

РАЗРАБОТКА МЕТОДОВ ЗАЩИТЫ ОТ ВОЗДЕЙСТВИЯ ШУМА НА РАБОЧИХ МЕСТАХ ООО «АКВАСЕРВИС» Бакалаврская работа техносферная безопасность 2020 г. 4270 руб. Разработка модуля защиты от внешних и внутренних угроз для системы проверки работ студентов Дипломные работы, ВКР программирование 2019 г. 4780 руб. РАЗРАБОТКА И ИССЛЕДОВАНИЕ ПРИНЦИПА ЗАЩИТЫ ОТ ОДНОФАЗНЫХ ЗАМЫКАНИЙ НА ЗЕМЛЮ, ОСНОВАННОГО НА КОНТРОЛЕ ПУЛЬСИРУЮЩЕЙ МОЩНОСТИ Авторефераты (РГБ) электроэнергетика 2012 г. 250 руб. Исследование перенапряжений в сетях 500 кВ Жигулевской ГЭС и выбор защиты от них Магистерская диссертация электротехника 2018 г. 5450 руб. ИССЛЕДОВАНИЕ СПОСОБОВ И СРЕДСТВ ПРОТИВОДЕЙСТВИЯ ПРИ DDOS АТАКАХ С РАЗРАБОТКОЙ МЕТОДА ЗАЩИТЫ ОТ ВРЕДОНОСНОГО ТРАФИКА Дипломные работы, ВКР информатика и вычислительная техника 2019 г. 4600 руб. СИСТЕМА ЦЕНТРАЛИЗОВАННОГО УПРАВЛЕНИЯ УЗЛАМИ СЕТИ С РЕАЛИЗАЦИЕЙ ФУНКЦИЙ ЗАЩИТЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА Бакалаврская работа информатика 2021 г. 4780 руб. Разработка системы защиты информации от несанкционированного доступа к автоматизированной системе Дипломные работы, ВКР программирование 2020 г. 4200 руб. ИССЛЕДОВАНИЕ И РАЗРАБОТКА ЛЕДОСТОЙКИХ АНОДОВ ДЛЯ СИСТЕМ КАТОДНОЙ ЗАЩИТЫ ОТ КОРРОЗИИ СУДОВ ЛЕДОВОГО ПЛАВАНИЯ, ЛЕДОКОЛОВ И МОРСКИХ СООРУЖЕНИЙ ДЛЯ НЕФТЕГАЗОДОБЫЧИ НА ШЕЛЬФЕ АРКТИЧЕСКИХ МОРЕЙ Диссертация машиностроение 2017 г. 5750 руб. Кибербезопасность: виды мошенничества и защита от мошенников (Северо-Кавказский Федеральный Университет) Курсовые работы информационная безопасность 2025 г. 500 руб. РАЗРАБОТКА СИСТЕМЫ ЗАЩИТЫ ПОДСТАНЦИИ «ЗМЗ-1» ООО «ЗЛАТОУСТОВСКИЙ МЕТАЛЛУРГИЧЕСКИЙ ЗАВОД» Дипломные работы, ВКР автоматизация технологических процессов 2020 г. 470 руб.

📎 БАКАЛАВРСКАЯ РАБОТА ПО ПРЕДМЕТУ «ИНФОРМАТИКА»

Найдено работ: 2726

Разработка программы учёта грузов на складе логистической компании Бакалаврская работа информатика 2024 г. 4410 руб. Разработка информационной системы управления грузоперевозками Бакалаврская работа информатика 2022 г. 4440 руб. Разработка защиты документации от несанкционированного доступа Бакалаврская работа информатика 2025 г. 4600 руб. Разработка алгоритма оптимизации на основе машинного обучения для задачи планирования ресурсов Бакалаврская работа информатика 2024 г. 4440 руб. Проект использования инструментов бизнес-аналитики для внедрения информационной системы в деятельность компании Бакалаврская работа информатика 2021 г. 4500 руб. Разработка системы анализа и прогнозирования рыночной стоимости недвижимости на основе открытых данных Бакалаврская работа информатика 2025 г. 4335 руб. Исследование и реализация алгоритма для решения задачи оптимизации выпуска готовой продукции Бакалаврская работа информатика 2024 г. 4440 руб. Разработка проекта внедрения локальной вычислительной сети для учебного корпуса №2 ГБПОУ Салаватского индустриального колледжа Бакалаврская работа информатика 2020 г. 4570 руб. Разработка веб-приложения для единой дежурно-диспетчерской службы Бакалаврская работа информатика 2025 г. 4320 руб. Разработка приложения «Коммунальные услуги. Личный кабинет потребителя» Бакалаврская работа информатика 2024 г. 4460 руб. Разработка программного обеспечения для автоматизации гостиничного комплекса Бакалаврская работа информатика 2024 г. 4430 руб. Разработка ПО для отбора потенциальных кандидатов на вакансию по данным резюме Бакалаврская работа информатика 2024 г. 4420 руб. Разработка программного приложения для формирования отчетности seo- специалиста Бакалаврская работа информатика 2022 г. 4510 руб. Решение проблемы оптимизации в многопродуктовой транспортной задаче Бакалаврская работа информатика 2022 г. 4600 руб. Информационная система поддержки управления интернет-торговлей Бакалаврская работа информатика 2022 г. 4500 руб.
📋 Содержание 📖 Введение ✅ Заключение 📕 Литература 🔍 Похожие 🛒 Купить ⬆️

Оценка стоимости

Это краткая форма заказа. После ее заполнения вы перейдете на полную форму заказа работы

Каталог работ (209234)

Поиск работ


©2026 Cервис помощи студентам в выполнении работ
.