Тип работы:
 Предмет:
 Язык работы:


Разработка схемы защиты от межсайтового скриптинга

Работа №75221

Тип работы

Бакалаврская работа

Предмет

информатика

Объем работы85
Год сдачи2018
Стоимость4900 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
220
Не подходит работа?

Узнай цену на написание


ВВЕДЕНИЕ 9
Глава 1 Особенности защиты от XSS-атак на веб-приложения 12
1.1 Концепция и виды межсайтового скриптинга (XSS) 12
1.2 Описание и схемы реализаций атак, использующих XSS-уязвимости 15
1.3 Способы защиты от межсайтового скриптинга 19
1.4 Анализ существующих решений на рынке 20
1.5 Анализ и выбор средств реализации проекта 23
1.6 Вывод по 1 главе 29
Глава 2 Обнаружение XSS-уязвимостей на основе анализа полной карты веб-приложения 31
2.1 Разработка алгоритмов обнаружения XSS-уязвимостей 31
2.2 Описание разработки программных компонентов 36
2.3 Описание функционала разрабатываемого программного обеспечения 39
2.4 Руководство пользователя 42
2.5 Выводы по 2 главе 44
Глава 3 Результаты практического применения 45
3.1 Тестирование разработанного ПО и аналогичных решений 45
3.2 Расчет экономической эффективности 47
3.3 Эргономика проектного решения 50
3.4 Пути дальнейшего совершенствования 56
3.5 Вывод по 3 главе 56
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 59
ПРИЛОЖЕНИЕ


Обеспечение информационной безопасности (ИБ) вычислительных систем является одной из приоритетных задач, решаемой любой организацией, в хозяйственной деятельности которой применяются алгоритмы сбора, обработки, хранения, передачи информации. Среди множества угроз ИБ существует категория негативных воздействий, которые могут провоцировать сами пользователи информационных ресурсов компании, подвергая опасности внутреннюю вычислительную сеть и в нее входящие устройства. Эти угрозы стали возможны благодаря широкому распространению сети Интернет.
При этом десять лет назад большинство веб-приложений были статическими и не имели интерактивных интерфейсов взаимодействия с пользователями. В них почти не было уязвимостей, которые могли быть использованы нарушителями. Поэтому многие веб-разработчики игнорировали вопросы безопасности веб-приложений. Однако на сегодняшний день существуют миллионы динамических веб-сайтов с множеством новых технологий, которые выполняются и используются в веб-браузерах. Данные технологии позволяют подключать к веб-приложениям различные модули, которые усиливают взаимодействие посетителей с веб-ресурсом (например, доски объявлений, формы обратной связи и т.д.).
Однако эти новшества имеют и отрицательную сторону. Динамические веб-сайты обеспечивают хорошую платформу нарушителям для внедрения вредоносного кода. С помощью внедренного кода нарушитель может получить доступ к данным авторизации пользователей и, выдавая себя за них, совершать противоправные действия как на локальных компьютерах пользователей, так и в сетевом оборудовании компании, меняя конфигурацию сети и программного обеспечения. Отсутствие должных мер по соблюдению правил и норм информационной безопасности приводит к появлению угроз, которые эксплуатируют уязвимости, связанные с внедрением кода. Тем самым подвергают компании большим финансовым и репутационным рискам.
Одним из таких видов компьютерных атак является межсайтовый скриптинг, в англоязычной литературе называемый - XSS (cross site scripting, x - используется в данной аббревиатуре для краткости, с - не используется, чтобы избежать путаницы с CSS) [1]. Межсайтовый скриптинг является одним из самых распространенных компьютерных атак, по версии OWASP (открытого проекта обеспечения безопасности веб-приложений) [2]. Об этом же свидетельствуют и результаты исследования компании Positive Technologies.

Возникли сложности?

Нужна помощь преподавателя?

Помощь студентам в написании работ!
ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ
Курсовые Статьи Диплом Рязань

При написании бакалаврской работы были проанализированы особенности проведения компьютерных атак вида «межсайтовый скриптинг». Также проведен анализ существующих программ предназначенных для обнаружения XSS-уязвимостей, результаты которого показали, что данные программы не в должной мере справляются с поставленными задачами, тем самым приводят к снижению уровня информационной безопасности веб-приложения.
На основе методики, основанной на последовательном применении наиболее эффективных алгоритмов обнаружения различных типов XSS, разработаны соответствующие алгоритмы поиска уязвимостей. Данные алгоритмы реализованы в виде соответствующего ПО, которое позволяет повысить эффективность защиты веб-приложения от XSS-атак. Программное обеспечение значительно упрощает процесс тестирования веб-ресурса разработчиком, благодаря функционалу формирования отчета с рекомендациями по устранению найденных XSS.
Также разработанное программное обеспечение успешно апробировано в ООО Н1П1 «ДосЛаб», о чем свидетельствует соответствующий акт внедрения.
Экспериментально доказана конкурентоспособность разработанной программы. Проведенный анализ экономического эффекта показал, что внедрение разработанного программного обеспечения эффективно. Также были рассмотрены вопросы, связанные с техникой безопасности и охраной труда.
Результаты бакалаврской работы опубликованы в 3 печатных изданиях, один из которых входит в перечень ВАК. Работа была представлена и удостоена наград в следующих конкурсах:
- удостоена статуса финалиста в восемнадцатой всероссийской конкурс- конференции среди студентов и аспирантов по информационной безопасности «SIBINFO- 2018»;
- удостоена статуса победителя в конкурсе проектных работ имени академика А.А. Бочвара.



1 Элхади А. М. Полное пособие по межсайтовому скриптингу // SecurityLab.ru [Электронный ресурс]. 11.12.2012. - URL: www.securitylab.ru/analytics/432835.php?R=1 (дата обращения 15.03.2018).
2 OWASP Top 10 - 2017 The Ten Most Critical Web Application Security Risks // OWASP the free and open software security community [Электронный ресурс]. 2017 - URL: www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf (дата обращения 20.03.2018).
3 Positive Research. Уязвимости веб-приложений: пора анализировать исходный
код // Positive Research Center [Электронный ресурс]. 08.08.2017 - URL:
www.blog.ptsecurity.ru/2017/08/web-attacks.html. (дата обращения 20.03.2018).
4 Евтеев Д. SQL Injection от А до Я // Positive Technologies [Электронный ресурс].
11.10.2014. - URL: www.ptsecurity.com/upload/corporate/ru-ru/analytics/PT-devteev-
Advanced-SQL-Injection.pdf (дата обращения 21.03.2018).
5 КБлог Свободного Вебмастера // Межсайтовый скриптинг, как защитить сайт от XSS атаки [Электронный ресурс]. 29.01.2018 - URL: https://webliberty.ru/xss/ (дата обращения 18.03.2018).
6 Klein A. Третий тип XSS: Межсайтовый скриптинг через DOM // SecurityLab.ru [Электронный ресурс]. 09.10.2006. - URL: https://www.securitylab.ru/analytics/275087.php (дата обращения 18.03.2018).
7 Berners-Lee T. Uniform Resource Locators // RFC 1738 - IETF [Электронный ресурс] - URL: www.ietf.org/rfc/rfc1738.txt (дата обращения 23.03.2018).
8 Do Son. Clickjacking Attack // Penetration Testing Security Training Share [Электронный ресурс] 27.07.2017. - URL: https://securityonline.info/clickjacking-attack/ (дата обращения 24.03.2018).
9 Cross-frame-scripting // OWASP the free and open software security community
[Электронный ресурс]. 22.06.2017. - URL:
www.owasp.org/index.php/Cross_Frame_Scripting (дата обращения 24.03.2018).
10 Types of XSS: Stored XSS, Reflected XSS and DOM-based XSS // Acunetix Blog [Электронный ресурс]. 17.01.2018. - URL: www.acunetix.com/websitesecurity/xss/ (дата обращения 22.03.2018).
11 Cross-site-scripting // OWASP the free and open software security community [Электронный ресурс]. 11.04.2009. - URL: www.owasp.org/index.php/Cross-site-scripting (дата обращения 25.03.2018).
12 How to write a XSS (cross site scripting) Worm for a McCodes Site // Hackbbs.org [Электронный ресурс]. 10.09.2017. - URL: ftp://hackbbs.org/milworm/272 (дата обращения 18.03.2018).
13 Mavituna F. XSS tunneling // Portcullis-security.com [Электронный ресурс]. 06.12.2016. - URL: https://labs.portcullis.co.uk/download/XSS-Tunnelling.pdf (дата обращения 18.03.2018).
14 DOM Based XSS // OWASP the free and open software security com-munity [Электронный ресурс]. 22.06.2017. - URL: www.owasp.org/index.php/DOM_Based_XSS (дата обращения 24.03.2018).
15 Mozilla Firefox // Mozilla Corporation [Электронный ресурс]. 18.03.2017. - URL: https://www.mozilla.org/ru/firefox/ (дата обращения 18.03.2018).
16 Fogie S., Grossman J., Hansen R., Rager A., Petkov P. XSS attacks: Cross Site Scripting exploits and defense - Seth Fogie, Oxford: Elsevier Limited, 2007. - 448 p.
17 CSP (Политика Защиты Контента) // MDN Web Docs [Электронный ресурс]. 21.12.2016. - URL: https://developer.mozilla.org/ru/docs/Web/Security/CSP (дата обращения 18.03.2018).
18 XSpider // Positive Technologies [Электронный ресурс]. 12.05.2013. - URL: www.ptsecurity.com/ru-ru/products/xspider/ (дата обращения 20.03.2018).
19 Nemesida Scanner // PENTESTIT [Электронный ресурс]. 03.01.2017. - URL: www.pentestit.ru/nemesida-scanner/ (дата обращения 20.03.2018).
20 Audit Your Web Security with Acunetix Vulnerability Scanner // Acunetix [Электронный ресурс]. 03.01.2017. - URL: www.acunetix.com/vulnerability-scanner/ (дата обращения 20.03.2018).
21 Джатана Н., Агравал А., Собти К. Пост-эксплуатация XSS: продвинутые методы
и способы защиты // SecurityLab.ru [Электронный ресурс]. 12.05.2013. - URL:
www.securitylab.ru/analytics/440187.php (дата обращения 30.03.2018).
22 Xenotix XSS Exploit Framework // OWASP [Электронный ресурс]. 22.06.2017. -
URL: www.owasp. org/index.php/OWASP_Xenotix_XSS_Exploit_F ramework (дата
обращения 24.03.2018).
23 Wapiti - сканер уязвимостей веб-приложений // DefconRU [Электронный ресурс]. 29.10.2015. - URL: https://defcon.ru/penetration-testing/1657/ (дата обращения 18.03.2018).
24 Чем толстый клиент отличается от тонкого? // Life 1C [Электронный ресурс]. 07.04.2015. - URL: http://life1c.ru/post/1285 (дата обращения 18.03.2018).
25 SQL Anywhere // Сайбес компания [Электронный ресурс]. 12.10.2016. - URL: https://www.sybase.ru/products/asa (дата обращения 18.03.2018).
26 InterBase // IBase.ru [Электронный ресурс]. 10.12.2015. - URL:
http://www.ibase.ru/interbase/ (дата обращения 18.03.2018).
27 Носиров З. А., Ажмухамедов И. М. Обнаружение XSS-уязвимостей на основе анализа полной карты веб-приложения // Системы управления, связи и безопасности. 2018. №1. С. 78-94. [Электронный ресурс]. - URL: http://sccs.intelgr.com/archive/2018- 01/03-Nosirov.pdf (дата обращения 13.03.2018).
28 Носиров З.А., Ажмухамедов И.М. Разработка программного обеспечения для выявления XSS-уязвимостей // Проблемы информационной безопасности. Т. 1 — Ростов- на-Дону: РГЭУ (РИНХ), 2018. — С. 216-221.
29 Эргономика рабочего места за компьютером. [Электронный ресурс]. URL: http://zdravyshka.ru/Poleznye-sovety/Sovety-vracha/ergonomika-rabochego-mesta-za- kompyuterom.html (дата обращения: 15.03.2018).
30 Техника безопасности и охрана труда на предприятии . [Электронный ресурс]. URL: http://outsourcing.yourbuhg.ru/autsorsing-ohrany/ohrana-truda-na-predpriatii.html (дата обращения: 20.03.2018).
31 Носиров З.А., Ажмухамедов И.М., Выборнова О.Н. Получение закрытой информации из открытых источников // Проблемы информационной безопасности. Т. 1 — Ростов-на-Дону: РГЭУ (РИНХ), 2018 — С. 154-157.
32 Носиров З.А., Ажмухамедов И.М., Марьенков А.Н. Разработка программного
обеспечения для обнаружения XSS-уязвимостей и выдачи рекомендаций по их устранению: свидетельство на ПрЭВМ № 2018610645; заявитель Носиров З.А.;
патентообладатели: Носиров З.А., Ажмухамедов И.М., Марьенков А.Н. - № 2017661927 заявл. 21.11.2017; опубл. 15.01.2018.
33 Носиров З.А. Инструмент для обнаружения вредоносного кода в системах управления контентом: свидетельство на ПрЭВМ № 2017662831; заявитель Носиров З.А.; патентообладатель: Носиров З.А. - № 2017619928 заявл. 26.09.2017; опубл. 17.11.2017.

Работу высылаем на протяжении 30 минут после оплаты.



Подобные работы

Заказать работу

Заявка на оценку стоимости

Это краткая форма заказа. После ее заполнения вы перейдете на полную форму заказа работы

Каталог работ (131265)

Новости

06.01.2018 Помощь студентам и аспирантам в выполнении работ от наших партнеров Помощь студентам и аспирантам в выполнении работ от наших партнеров

Помощь в выполнении учебных и научных работ на заказ ОФОРМИТЬ ЗАКАЗ

дальше

»» Все новости

Заказать работу

Заявка на оценку стоимости

Это краткая форма заказа. После ее заполнения вы перейдете на полную форму заказа работы

Заказать диплом

Приглашаем авторов студенчесчких работ


©2024 Cервис помощи студентам в выполнении работ
.