📄Работа №77687
Тема: Исследование популярных веб-сервисов и приложений на наличие уязвимостей
Тип работы
Магистерская диссертация
Предмет
информатика
Объем:
57 листов
Год:
2016
Просмотров:
72
4870
руб.
🛒 Купить работу
Не подходит эта работа?
Закажите новую по вашим требованиям
Узнать цену на написание
Закажите новую по вашим требованиям
Представленный материал является образцом учебного исследования, примером структуры и содержания учебного исследования по заявленной теме. Размещён исключительно в информационных и ознакомительных целях.
Workspay.ru оказывает информационные услуги по сбору, обработке и структурированию материалов в соответствии с требованиями заказчика.
Размещение материала не означает публикацию произведения впервые и не предполагает передачу исключительных авторских прав третьим лицам.
Материал не предназначен для дословной сдачи в образовательные организации и требует самостоятельной переработки с соблюдением законодательства Российской Федерации об авторском праве и принципов академической добросовестности.
Авторские права на исходные материалы принадлежат их законным правообладателям. В случае возникновения вопросов, связанных с размещённым материалом, просим направить обращение через форму обратной связи.
Настоящий учебно-методический информационный материал размещён в ознакомительных и исследовательских целях и представляет собой пример учебного исследования. Не является готовым научным трудом и требует самостоятельной переработки.
📋 Содержание
Содержание 1
Введение 3
Глава 1. ИССЛЕДОВАНИЕ БЕЗОПАСНОСТИ ВЕБ-СЕРВИСОВ. АТАКА 5
1.1. Предпосылки исследования 5
1.1.1. Обзор текущей ситуации в мире информационной безопасности
1.1.2. Определения и ключевые векторы 11
1.1.3. Итоги обзора 12
1.2. Сравнение «открытого» и «закрытого» ПО 13
1.3. Документы ВКонтакте 17
1.3.1. Проблемы данных в публичном доступе 17
1.3.2. Основная идея работы 19
1.3.3. PHP модуль crawler.php 21
1.3.4. PHP модуль downloader.php 24
1.3.5. Предисловие к Python модулям 24
1.3.6. Python модуль main_faces.py 25
1.3.7. Python модуль main_texts.py 26
1.3.8. Общая схема работы модулей 27
1.3.9. Объемы, скорость обработки, ресурсы 28
1.3.10. Способы определения документов 29
1.3.11. Результаты исследования 30
1.3.12. Итоги анализа сервиса 31
1.4. Уязвимости веб-приложений 33
1.4.1. ВКонтакте 33
1.4.2. Уязвимости сайта туристической компании 34
Глава 2. РАЗРАБОТКА АЛГОРИТМА АНАЛИЗА АТАК 38
2.1. Анализ логов веб-сервера с помощью SOM 38
2.1.1. SOM и их применение 38
2.1.2. SOM в исследованиях логов веб-сервера 38
2.1.3. Идея нового исследования 39
2.1.4. Nginx — веб-сервер 39
2.1.5. Формулировка задачи 40
2.1.6. Сложности задачи 40
2.1.7. Определение сессий 41
2.1.8. Преобразование данных 43
2.1.9. Нормализация данных 44
2.1.10. Добыча данных 46
2.1.11. Подбор библиотеки для SOM 47
2.1.12. Подбор параметров SOM 47
2.2. Эксперименты и анализ 48
2.2.1. Вывод результатов и анализ 48
2.2.2. Исправление алгоритма 51
2.3. Итоги применения метода 53
Заключение 55
Литература
Введение 3
Глава 1. ИССЛЕДОВАНИЕ БЕЗОПАСНОСТИ ВЕБ-СЕРВИСОВ. АТАКА 5
1.1. Предпосылки исследования 5
1.1.1. Обзор текущей ситуации в мире информационной безопасности
1.1.2. Определения и ключевые векторы 11
1.1.3. Итоги обзора 12
1.2. Сравнение «открытого» и «закрытого» ПО 13
1.3. Документы ВКонтакте 17
1.3.1. Проблемы данных в публичном доступе 17
1.3.2. Основная идея работы 19
1.3.3. PHP модуль crawler.php 21
1.3.4. PHP модуль downloader.php 24
1.3.5. Предисловие к Python модулям 24
1.3.6. Python модуль main_faces.py 25
1.3.7. Python модуль main_texts.py 26
1.3.8. Общая схема работы модулей 27
1.3.9. Объемы, скорость обработки, ресурсы 28
1.3.10. Способы определения документов 29
1.3.11. Результаты исследования 30
1.3.12. Итоги анализа сервиса 31
1.4. Уязвимости веб-приложений 33
1.4.1. ВКонтакте 33
1.4.2. Уязвимости сайта туристической компании 34
Глава 2. РАЗРАБОТКА АЛГОРИТМА АНАЛИЗА АТАК 38
2.1. Анализ логов веб-сервера с помощью SOM 38
2.1.1. SOM и их применение 38
2.1.2. SOM в исследованиях логов веб-сервера 38
2.1.3. Идея нового исследования 39
2.1.4. Nginx — веб-сервер 39
2.1.5. Формулировка задачи 40
2.1.6. Сложности задачи 40
2.1.7. Определение сессий 41
2.1.8. Преобразование данных 43
2.1.9. Нормализация данных 44
2.1.10. Добыча данных 46
2.1.11. Подбор библиотеки для SOM 47
2.1.12. Подбор параметров SOM 47
2.2. Эксперименты и анализ 48
2.2.1. Вывод результатов и анализ 48
2.2.2. Исправление алгоритма 51
2.3. Итоги применения метода 53
Заключение 55
Литература
📖 Введение
В настоящее время рынок веб-сервисов и приложений постоянно растет. Появляется все больше возможностей для получения электронных услуг. Большинство приложений имеют доступ к данным пользователей прямым или косвенным образом. Некоторые веб-сервисы являются стратегически важными. Их простой (или ошибка) может привести к большим потерям как со стороны компании, так и со стороны её клиентов. К сожалению, многие компании пренебрегают безопасностью, отдавая предпочтение скорости разработки и экономии средств. Отсюда возникает необходимость в исследовании безопасности веб-сервисов и приложений для того, чтобы указать создателям на их недоработки, обезопасить как их самих, так и их клиентов от потенциального ущерба. Кроме того, вероятно, существует возможность открытия в процессе данных исследований новых методов атак и защиты, которые ранее не были известны.
Объектом исследования выступают популярные веб-сервисы и приложения, предметом - тестирование безопасности этих проектов и приложений, поиск в них уязвимостей.
Тема данной магистерской диссертации является актуальной в силу постоянного развития веб-технологий и непрерывного роста интернет- аудитории. Многие важные объекты инфраструктуры теперь можно вывести из строя удаленно, а так же получить доступ к конфиденциальным данным. Последствия взлома могут быть фатальны как для компании, так и для её клиентов.
Цель работы состоит в исследовании популярных веб-сервисов и приложений на наличие уязвимостей и поиске способов их устранения (в случае обнаружения). Дополнительной целью является создание механизмов анализа атак на веб-приложения с использованием последних достижений в области машинного обучения.
В рамках магистерской диссертации выдвигается следующая гипотеза: многие, даже очень известные веб-сервисы имеют уязвимости, которые необходимо устранить. Современные методы машинного обучения способны изменить подход к информационной безопасности как с точки зрения защиты, так и с точки зрения атаки.
В ходе исследования будут рассмотрены крупные веб-сервисы и приложения, такие как «ВКонтакте», сайт туристической компании и другие.
Для достижения цели работы были поставлены следующие задачи:
• выбрать популярные веб-проекты для тестирования;
• провести тестирование с использованием известных методологий;
• провести исследования с использованием специфичных для каждого отдельного сервиса методологий, в том числе тех, которые не входят в стандартные;
• уведомить разработчиков о найденных уязвимостях, составить рекомендации по их устранению, дождаться исправления уязвимости;
• описать полученные результаты, создать классификацию найденных уязвимостей;
• разработать методы анализа атак на приложения;
• предоставить и проанализировать результаты;
• подвести итоги исследования.
Теоретической и методологической основой работы послужили:
• агрегированные данные из множества ресурсов сети Интернет;
• научные статьи;
• практический опыт работы автора в данном направлении.
Объектом исследования выступают популярные веб-сервисы и приложения, предметом - тестирование безопасности этих проектов и приложений, поиск в них уязвимостей.
Тема данной магистерской диссертации является актуальной в силу постоянного развития веб-технологий и непрерывного роста интернет- аудитории. Многие важные объекты инфраструктуры теперь можно вывести из строя удаленно, а так же получить доступ к конфиденциальным данным. Последствия взлома могут быть фатальны как для компании, так и для её клиентов.
Цель работы состоит в исследовании популярных веб-сервисов и приложений на наличие уязвимостей и поиске способов их устранения (в случае обнаружения). Дополнительной целью является создание механизмов анализа атак на веб-приложения с использованием последних достижений в области машинного обучения.
В рамках магистерской диссертации выдвигается следующая гипотеза: многие, даже очень известные веб-сервисы имеют уязвимости, которые необходимо устранить. Современные методы машинного обучения способны изменить подход к информационной безопасности как с точки зрения защиты, так и с точки зрения атаки.
В ходе исследования будут рассмотрены крупные веб-сервисы и приложения, такие как «ВКонтакте», сайт туристической компании и другие.
Для достижения цели работы были поставлены следующие задачи:
• выбрать популярные веб-проекты для тестирования;
• провести тестирование с использованием известных методологий;
• провести исследования с использованием специфичных для каждого отдельного сервиса методологий, в том числе тех, которые не входят в стандартные;
• уведомить разработчиков о найденных уязвимостях, составить рекомендации по их устранению, дождаться исправления уязвимости;
• описать полученные результаты, создать классификацию найденных уязвимостей;
• разработать методы анализа атак на приложения;
• предоставить и проанализировать результаты;
• подвести итоги исследования.
Теоретической и методологической основой работы послужили:
• агрегированные данные из множества ресурсов сети Интернет;
• научные статьи;
• практический опыт работы автора в данном направлении.
✅ Заключение
В рамках работы над магистерской диссертацией были исследованы популярные веб-сервисы, уязвимости, которые возникают при определенном подходе к разработке сервисов, проведен анализ инцидентов информационной безопасности в сети, представлен новый метод для анализа атак.
В результате проведенных исследований, были обнаружены три уязвимости в социальной сети «ВКонтакте», одна из которых является скорее проблемой самих пользователей, чем социальной сети. Данная уязвимость, связанная с личными документами пользователей в публичном доступе, подробно описана в рассматриваемой работе. В результате проведенного исследования были найдены личные документы сотен пользователей, которые могут быть использованы в незаконных целях. Полученный результат значительно окупает стоимость проведения атаки, с помощью которой при масштабировании можно получить документы тысяч пользователей. Полученные данные могут использоваться в незаконных целях или с целью нанести иной вред физическим лицам, которые являются владельцами документов. Кроме описанной уязвимости, две уязвимости были устранены.
Был найден ряд уязвимостей на сайте крупной туристической компании. Компания была уведомлена об уязвимостях, но т.к. даже спустя долгое время (более года) на момент публикации данной работы, не устранила проблемы полностью, публикация некоторых деталей, связанных с уязвимостями, невозможна. Однако, благодаря этой компании, был выявлен подход к разработке, который довольно часто приводит к проблемам безопасности. Речь идет о проектном подходе с использованием open-source фреймворков для создания веб-приложений. Подробности представлены в данной работе.
Во второй части исследования (глава 2) представлено описание авторского метода для анализа логов веб-приложений. Данный метод способен отделять ботов от обычных посетителей сайта с точностью ~87,4%.
Таким образом, данная работа представляет собой комплексный обзор атак, защиты, подходов компаний к информационной безопасности за период более чем два года. Работа содержит некоторые идеи, которые способны изменить подход к разработке и поддержке ПО, а так же защите информации.
В результате проведенных исследований, были обнаружены три уязвимости в социальной сети «ВКонтакте», одна из которых является скорее проблемой самих пользователей, чем социальной сети. Данная уязвимость, связанная с личными документами пользователей в публичном доступе, подробно описана в рассматриваемой работе. В результате проведенного исследования были найдены личные документы сотен пользователей, которые могут быть использованы в незаконных целях. Полученный результат значительно окупает стоимость проведения атаки, с помощью которой при масштабировании можно получить документы тысяч пользователей. Полученные данные могут использоваться в незаконных целях или с целью нанести иной вред физическим лицам, которые являются владельцами документов. Кроме описанной уязвимости, две уязвимости были устранены.
Был найден ряд уязвимостей на сайте крупной туристической компании. Компания была уведомлена об уязвимостях, но т.к. даже спустя долгое время (более года) на момент публикации данной работы, не устранила проблемы полностью, публикация некоторых деталей, связанных с уязвимостями, невозможна. Однако, благодаря этой компании, был выявлен подход к разработке, который довольно часто приводит к проблемам безопасности. Речь идет о проектном подходе с использованием open-source фреймворков для создания веб-приложений. Подробности представлены в данной работе.
Во второй части исследования (глава 2) представлено описание авторского метода для анализа логов веб-приложений. Данный метод способен отделять ботов от обычных посетителей сайта с точностью ~87,4%.
Таким образом, данная работа представляет собой комплексный обзор атак, защиты, подходов компаний к информационной безопасности за период более чем два года. Работа содержит некоторые идеи, которые способны изменить подход к разработке и поддержке ПО, а так же защите информации.
ИЛИ
Поиск аналога
📕 Список литературы
🛒 Оформить заказ
⚡ Работу высылаем в течении 5 минут после оплаты.