Исследование популярных веб-сервисов и приложений на наличие уязвимостей
|
Содержание 1
Введение 3
Глава 1. ИССЛЕДОВАНИЕ БЕЗОПАСНОСТИ ВЕБ-СЕРВИСОВ. АТАКА 5
1.1. Предпосылки исследования 5
1.1.1. Обзор текущей ситуации в мире информационной безопасности
1.1.2. Определения и ключевые векторы 11
1.1.3. Итоги обзора 12
1.2. Сравнение «открытого» и «закрытого» ПО 13
1.3. Документы ВКонтакте 17
1.3.1. Проблемы данных в публичном доступе 17
1.3.2. Основная идея работы 19
1.3.3. PHP модуль crawler.php 21
1.3.4. PHP модуль downloader.php 24
1.3.5. Предисловие к Python модулям 24
1.3.6. Python модуль main_faces.py 25
1.3.7. Python модуль main_texts.py 26
1.3.8. Общая схема работы модулей 27
1.3.9. Объемы, скорость обработки, ресурсы 28
1.3.10. Способы определения документов 29
1.3.11. Результаты исследования 30
1.3.12. Итоги анализа сервиса 31
1.4. Уязвимости веб-приложений 33
1.4.1. ВКонтакте 33
1.4.2. Уязвимости сайта туристической компании 34
Глава 2. РАЗРАБОТКА АЛГОРИТМА АНАЛИЗА АТАК 38
2.1. Анализ логов веб-сервера с помощью SOM 38
2.1.1. SOM и их применение 38
2.1.2. SOM в исследованиях логов веб-сервера 38
2.1.3. Идея нового исследования 39
2.1.4. Nginx — веб-сервер 39
2.1.5. Формулировка задачи 40
2.1.6. Сложности задачи 40
2.1.7. Определение сессий 41
2.1.8. Преобразование данных 43
2.1.9. Нормализация данных 44
2.1.10. Добыча данных 46
2.1.11. Подбор библиотеки для SOM 47
2.1.12. Подбор параметров SOM 47
2.2. Эксперименты и анализ 48
2.2.1. Вывод результатов и анализ 48
2.2.2. Исправление алгоритма 51
2.3. Итоги применения метода 53
Заключение 55
Литература
Введение 3
Глава 1. ИССЛЕДОВАНИЕ БЕЗОПАСНОСТИ ВЕБ-СЕРВИСОВ. АТАКА 5
1.1. Предпосылки исследования 5
1.1.1. Обзор текущей ситуации в мире информационной безопасности
1.1.2. Определения и ключевые векторы 11
1.1.3. Итоги обзора 12
1.2. Сравнение «открытого» и «закрытого» ПО 13
1.3. Документы ВКонтакте 17
1.3.1. Проблемы данных в публичном доступе 17
1.3.2. Основная идея работы 19
1.3.3. PHP модуль crawler.php 21
1.3.4. PHP модуль downloader.php 24
1.3.5. Предисловие к Python модулям 24
1.3.6. Python модуль main_faces.py 25
1.3.7. Python модуль main_texts.py 26
1.3.8. Общая схема работы модулей 27
1.3.9. Объемы, скорость обработки, ресурсы 28
1.3.10. Способы определения документов 29
1.3.11. Результаты исследования 30
1.3.12. Итоги анализа сервиса 31
1.4. Уязвимости веб-приложений 33
1.4.1. ВКонтакте 33
1.4.2. Уязвимости сайта туристической компании 34
Глава 2. РАЗРАБОТКА АЛГОРИТМА АНАЛИЗА АТАК 38
2.1. Анализ логов веб-сервера с помощью SOM 38
2.1.1. SOM и их применение 38
2.1.2. SOM в исследованиях логов веб-сервера 38
2.1.3. Идея нового исследования 39
2.1.4. Nginx — веб-сервер 39
2.1.5. Формулировка задачи 40
2.1.6. Сложности задачи 40
2.1.7. Определение сессий 41
2.1.8. Преобразование данных 43
2.1.9. Нормализация данных 44
2.1.10. Добыча данных 46
2.1.11. Подбор библиотеки для SOM 47
2.1.12. Подбор параметров SOM 47
2.2. Эксперименты и анализ 48
2.2.1. Вывод результатов и анализ 48
2.2.2. Исправление алгоритма 51
2.3. Итоги применения метода 53
Заключение 55
Литература
В настоящее время рынок веб-сервисов и приложений постоянно растет. Появляется все больше возможностей для получения электронных услуг. Большинство приложений имеют доступ к данным пользователей прямым или косвенным образом. Некоторые веб-сервисы являются стратегически важными. Их простой (или ошибка) может привести к большим потерям как со стороны компании, так и со стороны её клиентов. К сожалению, многие компании пренебрегают безопасностью, отдавая предпочтение скорости разработки и экономии средств. Отсюда возникает необходимость в исследовании безопасности веб-сервисов и приложений для того, чтобы указать создателям на их недоработки, обезопасить как их самих, так и их клиентов от потенциального ущерба. Кроме того, вероятно, существует возможность открытия в процессе данных исследований новых методов атак и защиты, которые ранее не были известны.
Объектом исследования выступают популярные веб-сервисы и приложения, предметом - тестирование безопасности этих проектов и приложений, поиск в них уязвимостей.
Тема данной магистерской диссертации является актуальной в силу постоянного развития веб-технологий и непрерывного роста интернет- аудитории. Многие важные объекты инфраструктуры теперь можно вывести из строя удаленно, а так же получить доступ к конфиденциальным данным. Последствия взлома могут быть фатальны как для компании, так и для её клиентов.
Цель работы состоит в исследовании популярных веб-сервисов и приложений на наличие уязвимостей и поиске способов их устранения (в случае обнаружения). Дополнительной целью является создание механизмов анализа атак на веб-приложения с использованием последних достижений в области машинного обучения.
В рамках магистерской диссертации выдвигается следующая гипотеза: многие, даже очень известные веб-сервисы имеют уязвимости, которые необходимо устранить. Современные методы машинного обучения способны изменить подход к информационной безопасности как с точки зрения защиты, так и с точки зрения атаки.
В ходе исследования будут рассмотрены крупные веб-сервисы и приложения, такие как «ВКонтакте», сайт туристической компании и другие.
Для достижения цели работы были поставлены следующие задачи:
• выбрать популярные веб-проекты для тестирования;
• провести тестирование с использованием известных методологий;
• провести исследования с использованием специфичных для каждого отдельного сервиса методологий, в том числе тех, которые не входят в стандартные;
• уведомить разработчиков о найденных уязвимостях, составить рекомендации по их устранению, дождаться исправления уязвимости;
• описать полученные результаты, создать классификацию найденных уязвимостей;
• разработать методы анализа атак на приложения;
• предоставить и проанализировать результаты;
• подвести итоги исследования.
Теоретической и методологической основой работы послужили:
• агрегированные данные из множества ресурсов сети Интернет;
• научные статьи;
• практический опыт работы автора в данном направлении.
Объектом исследования выступают популярные веб-сервисы и приложения, предметом - тестирование безопасности этих проектов и приложений, поиск в них уязвимостей.
Тема данной магистерской диссертации является актуальной в силу постоянного развития веб-технологий и непрерывного роста интернет- аудитории. Многие важные объекты инфраструктуры теперь можно вывести из строя удаленно, а так же получить доступ к конфиденциальным данным. Последствия взлома могут быть фатальны как для компании, так и для её клиентов.
Цель работы состоит в исследовании популярных веб-сервисов и приложений на наличие уязвимостей и поиске способов их устранения (в случае обнаружения). Дополнительной целью является создание механизмов анализа атак на веб-приложения с использованием последних достижений в области машинного обучения.
В рамках магистерской диссертации выдвигается следующая гипотеза: многие, даже очень известные веб-сервисы имеют уязвимости, которые необходимо устранить. Современные методы машинного обучения способны изменить подход к информационной безопасности как с точки зрения защиты, так и с точки зрения атаки.
В ходе исследования будут рассмотрены крупные веб-сервисы и приложения, такие как «ВКонтакте», сайт туристической компании и другие.
Для достижения цели работы были поставлены следующие задачи:
• выбрать популярные веб-проекты для тестирования;
• провести тестирование с использованием известных методологий;
• провести исследования с использованием специфичных для каждого отдельного сервиса методологий, в том числе тех, которые не входят в стандартные;
• уведомить разработчиков о найденных уязвимостях, составить рекомендации по их устранению, дождаться исправления уязвимости;
• описать полученные результаты, создать классификацию найденных уязвимостей;
• разработать методы анализа атак на приложения;
• предоставить и проанализировать результаты;
• подвести итоги исследования.
Теоретической и методологической основой работы послужили:
• агрегированные данные из множества ресурсов сети Интернет;
• научные статьи;
• практический опыт работы автора в данном направлении.
В рамках работы над магистерской диссертацией были исследованы популярные веб-сервисы, уязвимости, которые возникают при определенном подходе к разработке сервисов, проведен анализ инцидентов информационной безопасности в сети, представлен новый метод для анализа атак.
В результате проведенных исследований, были обнаружены три уязвимости в социальной сети «ВКонтакте», одна из которых является скорее проблемой самих пользователей, чем социальной сети. Данная уязвимость, связанная с личными документами пользователей в публичном доступе, подробно описана в рассматриваемой работе. В результате проведенного исследования были найдены личные документы сотен пользователей, которые могут быть использованы в незаконных целях. Полученный результат значительно окупает стоимость проведения атаки, с помощью которой при масштабировании можно получить документы тысяч пользователей. Полученные данные могут использоваться в незаконных целях или с целью нанести иной вред физическим лицам, которые являются владельцами документов. Кроме описанной уязвимости, две уязвимости были устранены.
Был найден ряд уязвимостей на сайте крупной туристической компании. Компания была уведомлена об уязвимостях, но т.к. даже спустя долгое время (более года) на момент публикации данной работы, не устранила проблемы полностью, публикация некоторых деталей, связанных с уязвимостями, невозможна. Однако, благодаря этой компании, был выявлен подход к разработке, который довольно часто приводит к проблемам безопасности. Речь идет о проектном подходе с использованием open-source фреймворков для создания веб-приложений. Подробности представлены в данной работе.
Во второй части исследования (глава 2) представлено описание авторского метода для анализа логов веб-приложений. Данный метод способен отделять ботов от обычных посетителей сайта с точностью ~87,4%.
Таким образом, данная работа представляет собой комплексный обзор атак, защиты, подходов компаний к информационной безопасности за период более чем два года. Работа содержит некоторые идеи, которые способны изменить подход к разработке и поддержке ПО, а так же защите информации.
В результате проведенных исследований, были обнаружены три уязвимости в социальной сети «ВКонтакте», одна из которых является скорее проблемой самих пользователей, чем социальной сети. Данная уязвимость, связанная с личными документами пользователей в публичном доступе, подробно описана в рассматриваемой работе. В результате проведенного исследования были найдены личные документы сотен пользователей, которые могут быть использованы в незаконных целях. Полученный результат значительно окупает стоимость проведения атаки, с помощью которой при масштабировании можно получить документы тысяч пользователей. Полученные данные могут использоваться в незаконных целях или с целью нанести иной вред физическим лицам, которые являются владельцами документов. Кроме описанной уязвимости, две уязвимости были устранены.
Был найден ряд уязвимостей на сайте крупной туристической компании. Компания была уведомлена об уязвимостях, но т.к. даже спустя долгое время (более года) на момент публикации данной работы, не устранила проблемы полностью, публикация некоторых деталей, связанных с уязвимостями, невозможна. Однако, благодаря этой компании, был выявлен подход к разработке, который довольно часто приводит к проблемам безопасности. Речь идет о проектном подходе с использованием open-source фреймворков для создания веб-приложений. Подробности представлены в данной работе.
Во второй части исследования (глава 2) представлено описание авторского метода для анализа логов веб-приложений. Данный метод способен отделять ботов от обычных посетителей сайта с точностью ~87,4%.
Таким образом, данная работа представляет собой комплексный обзор атак, защиты, подходов компаний к информационной безопасности за период более чем два года. Работа содержит некоторые идеи, которые способны изменить подход к разработке и поддержке ПО, а так же защите информации.
Подобные работы
- ПОСТРОЕНИЕ СИСТЕМЫ УДАЛЕННОГО ДОСТУПА К КОРПОРАТИВНОЙ СЕТИ ИЗ СЕТИ ИНТЕРНЕТ
Дипломные работы, ВКР, информационная безопасность. Язык работы: Русский. Цена: 4395 р. Год сдачи: 2017 - МЕТОДИКА РАЗРАБОТКИ KOMПЛЕКСА СРЕДСТВ ДЛЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПACНОСТИ ИНТЕРНЕТ-МАГАЗИНА
Дипломные работы, ВКР, информационная безопасность. Язык работы: Русский. Цена: 4295 р. Год сдачи: 2023 - Нахождение условий гонки в коде на C методом статического анализа
Бакалаврская работа, информатика. Язык работы: Русский. Цена: 4340 р. Год сдачи: 2016 - РОЛЬ СОЦИАЛЬНЫХ МЕДИА ВО ВНЕШНЕПОЛИТИЧЕСКОЙ КОММУНИКАЦИИ РОССИЙСКОЙ ФЕДЕРАЦИИ
Магистерская диссертация, международные отношения. Язык работы: Русский. Цена: 4880 р. Год сдачи: 2017 - Нахождение условий гонки в коде на
C методом статического анализа.
Бакалаврская работа, информатика. Язык работы: Русский. Цена: 4780 р. Год сдачи: 2016