ВВЕДЕНИЕ 4
1. МЕТОДЫ АТАК НА WEB-ПРИЛОЖЕНИЯ И СПОСОБЫ ЗАЩИТЫ ОТ НИХ 6
1.1. Внедрение кода 7
1.1.1. SQL-инъекция 7
1.1.2. LDAP-инъекция 10
1.1.3. XPath-инъекция 10
1.2. Некорректная аутентификация и управление сессией 11
1.2.1. Методы атак 11
1.2.2. Способы защиты 15
1.3. Межсайтовый скриптинг 15
1.3.1. Атка Cross-site Scripting 15
1.3.2. Способы защиты 16
1.4. Нарушение контроля доступа 17
1.4.1. Методы атак 17
1.4.2. Способы защиты 18
1.5. Небезопасная конфигурация 18
1.5.1. Анализ атаки security misconfiguration 18
1.5.2. Способы защиты 19
1.6. Утечка чувствительных данных 20
1.6.1. Анализ атаки Sensitive Data Exposure 20
1.6.2. Способы защиты 20
1.7. Недостаточная защита от атак 21
1.7.1. Анализ Insufficient Attack Protection 21
1.7.2. Способы защиты 22
1.8. Подделка межсайтовых запросов 22
1.8.1. Cross-Site Request Forgery (CSRF) 22
1.8.2. Способы защиты 23
1.9. Использование компонентов с известными уязвимостями 23
1.9.1. Анализ уязвимости 23
1.9.2. Способы защиты 24
1.10. Незащищенный API 24
1.10.1. Анализ атаки 24
1.10.2. Способы защиты 25
2. ПРОЕКТНАЯ ЧАСТЬ 26
2.1. Описание спроектированной программы 26
2.1.1. Общий вид работы программы 26
2.2. Описание программной части приложения 26
2.3. Описание интерфейса разработанного приложения 28
ЗАКЛЮЧЕНИЕ 29
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 30
ПРИЛОЖЕНИЕ 31
В современном мире существует большое количество угроз, опасностей, которые могут поджидать нас на каждом шагу в любое время. Одной из важнейших составляющих нашей жизни стал интернет, который не является исключением. Всемирная сеть развивается с большой скоростью. Каждая организация и компания создает свой сайт. Также все приложения становятся более доступными для пользователей в сети. Их разработчики стремятся упростить повседневную жизнь людей, размещая такие программы как: электронная почта, карты, погода, новости, социальные сети, облачные хранилища, которые предоставляются пользователям для хранения личных данных(например, фотографии, логины и пароли), и так далее. Отсюда можно сделать вывод, что наша жизнь полностью зависит от возможности доступа к сети интернет. Люди разных возрастов всегда используют Всемирную паутину и нигде не могут обойтись без нее. Этот факт влияет и на развитие киберпреступности. Злоумышленники могут производить атаки и при этом оставаться абсолютно незамеченными, сохраняя полную анонимность.
В современном обществе широкое распространение получили web- приложения. Основными достоинствами программ являются простой интерфейс, который привычен для людей и понятен пользователям, возможность удаленной работы через Всемирную сеть и быстроту разработки. Именно поэтому проблема, связанная с обеспечением информационной безопасности, является наиболее актуальной. Web- приложения выкладываются в общий доступ. Следовательно, и пользователи, и злоумышленники могут ими пользоваться. У всех web-приложений существует ряд уязвимостей, которые могут позволить похищать конфиденциальную информацию, изменять данные и нарушать доступность. По данным [1] более 60% уязвимостей относятся к web- приложениям. Для обеспечения информационной безопасности необходимо знать, какие существуют угрозы на приложения и как можно их можно защитить. В данной работе будут рассмотрены методы атак на web- приложения и обеспечение их информационной безопасности. Также будет разобран пример одной из наиболее распространенных атак, а именно SQL- инъекции и реализация защиты.
В данной выпускной работе были изучены методы атак на веб-приложения и обеспечение информационной безопасности.
Продемонстрировали SQL-инъекцию на простой интернет-магазин и реализовали защиту от данной уязвимости.
Из вышесказанного можно сделать вывод, что современные веб-приложения имеют множество различных уязвимостей. Именно поэтому обеспечение информационной безопасности является одним из основных аспектов в разработке. Во многих случаях злоумышленник имеет возможность без особых усилий получить доступ к администрированию веб-приложения. Проблеме обеспечения безопасности следует уделять больше времени и внимания. От этого зависит конфиденциальность данных и их целостность.
