Благодарю за курсовую по информационной безопасности, выполнено по всем требованиям и в срок))
Информация о работе
Подробнее о работе
Исследование угроз для web-приложений
- 48 страниц
- 2013 год
- 717 просмотров
- 6 покупок
Гарантия сервиса Автор24
Уникальность не ниже 50%
Фрагменты работ
Web-приложение — клиент-серверное приложение, в котором клиентом выступает браузер, а сервером — web-сервер. Логика web-приложения распределена между сервером и клиентом, хранение данных осуществляется, преимущественно, на сервере, обмен информацией происходит по сети. Одним из преимуществ такого подхода является тот факт, что клиенты не зависят от конкретной операционной системы пользователя, поэтому web-приложения являются межплатформенными сервисами.
Появление веб-приложений тесно связано с развитием Web 2.0. Сервисом, который можно считать первым web-приложением, можно назвать сервис, которым пользуются сегодня миллионы пользователей – Google.
Именно Google стал тем сервисом, который полностью отошел от старых принципов разработки и распространения программного обеспечения. Его создатели ушли от лицензирования продукта и его продажи, установки постоянных обновлений и всего того, что мы привыкли видеть в традиционной софтверной индустрии. Продукт просто постоянно улучшался, а пользователи, сами того не подозревая, косвенно платили за его использование.
ВВЕДЕНИЕ..............................................................................................................5
1 КЛАССИФИКАЦИЯ УГРОЗ ДЛЯ WEB-ПРИЛОЖЕНИЙ..............................7
1.1Аутентификация (Authentication)......................................................................7
1.1.1 Подбор (Brute Force).......................................................................................8
1.1.2 Недостаточная аутентификация (Insufficient Authentication).....................8
1.1.3 Небезопасное восстановление паролей (Weak Password Recovery Validation)…………………………………………..……………………………...9
1.2 Авторизация……………...................................................................................9
1.2.1 Предсказуемое значение идентификатора сессии (Credential/Session Prediction)……………………...............................................................................10
1.2.2 Недостаточная авторизация (Insufficient Authorization)...........................10
1.2.3 Отсутствие таймаута сессии (Insufficient Session Expiration)...................10
1.3 Атаки на клиентов (Client-side Attacks).........................................................12
1.3.1 Подмена содержимого (Content Spoofing).................................................12
1.3.2 Межсайтовое выполнение сценариев (Cross-site Scripting, XSS)............13
1.3.3 Расщепление HTTP-запроса (HTTP Response Splitting)...........................13
1.4 Выполнение кода…………………………….................................................15
1.4.1 Переполнение буфера (Buffer Overflow)....................................................15
1.4.2 Атака на функции форматирования строк (Format String Attack)...........16
1.4.3 Внедрение операторов LDAP (LDAP Injection).........................................16
1.4.4 Выполнение команд ОС (OS Commanding)...............................................16
1.4.5 Внедрение операторов SQL (SQL Injection)..............................................17
1.4.6 Внедрение серверных сценариев (SSI Injection)........................................17
1.4.7 Внедрение операторов XPath (XPath Injection).........................................17
1.5 Разглашение информации…………………...................................................18
1.5.1 Индексирование директорий (Directory Indexing).....................................18
1.5.2 Идентификация приложений (Web Server/Application Fingerprinting)....19
1.5.3 Утечка информации (Information Leakage)................................................20
1.5.4 Обратный путь в директориях (Path Traversal)…......................................20
1.5.5 Предсказуемое расположение ресурсов (Predictable Resource Location)…………………………………………………………………………..21
1.6 Логические атаки…………………………………….....................................22
1.6.1 Злоупотребление функциональными возможностями (Abuse of Functionality)……………………………………………......................................22
1.6.2 Отказ в обслуживании (Denial of Service)..................................................22
1.6.3 Недостаточное противодействие автоматизации (Insufficient Anti-automation)……………………………………………..........................................23
1.6.4 Недостаточная проверка процесса (Insufficient Process Validation).........23
2 РАЗРАБОТКА ЗАЩИТЫ…………………………..........................................25
2.1 Аутентификация…………………………………..........................................25
2.1.1 Полный перебор или метод «грубой силы»…...........................................25
2.1.2 Недостаточная аутентификация………………..........................................28
2.1.3 Небезопасное восстановление паролей………..........................................29
2.2 Авторизация……………………………………….........................................30
2.2.1 Предсказуемое значение идентификатора сессии.....................................30
2.2.2 Недостаточная авторизация…………………….........................................30
2.2.3 Отсутствие таймаута сессии……………………........................................30
2.2.4 Фиксация сессии………………………………….......................................31
2.3 Атаки на клиентов………………………………….......................................31
2.3.1 Подмена содержимого………………………….........................................31
2.3.2 Межсайтовое выполнение сценариев…………….....................................31
2.3.3 Расщепление HTTP-запроса……………………........................................32
2.4 Выполнение кода………………………………….........................................32
2.4.1 Переполнение буфера……………………………......................................32
2.4.2 Атака на функции форматирования строк…….........................................32
2.4.3 Внедрение операторов LDAP…………………..........................................32
2.4.4 Выполнение команд ОС………………………….......................................32
2.4.5 Внедрение операторов SQL…………………….........................................32
2.4.6 Внедрение серверных сценариев………………........................................33
2.4.7 Внедрение операторов XPath…………………..........................................34
2.5 Разглашение информации…….…………………..........................................34
2.5.1 Индексирование директорий…………………….......................................34
2.5.2 Идентификация приложений….…………………......................................34
2.5.3 Утечка информации………….…………………........................................35
2.5.4 Обратный путь в директориях …………………........................................35
2.5.5 Предсказуемое расположение ресурсов……….........................................35
2.6 Логические атаки………………………………….........................................35
2.6.1 Злоупотребление функциональными возможностями.............................35
2.6.2 Отказ в обслуживании……….………………….........................................35
2.6.3 Недостаточное противодействие автоматизации......................................35
2.6.4 Недостаточная проверка процесса……………..........................................36
3 НАСТРОЙКА ПРОГРАММЫ PAROS PROXY SERVER .............................37
3.1 О программе Paros Proxy Server………………….........................................37
3.2 Введение…………………………………………….......................................38
3.3 Crawler (поисковый паук)……..…………………........................................38
3.4 Сканнер уязвимостей……..………………………........................................39
3.5 Фильтр данных…………………...………………….....................................41
3.6 Перехватчик запросов/ответов в режиме «on-the-fly»(на лету)..................42
3.7 Дополнительный функционал….………………….......................................42
3.8 Использование программы ….…………………...........................................44
ЗАКЛЮЧЕНИЕ………. ….………………………..…........................................47
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ..…......................................48
Целью данной курсовой работы является изучение различных уязвимостей web-приложений и различных способов исправления этих уязвимостей.
1. Веллинг Л. Разработка веб-приложений с помощью PHP и MySQL. Москва: Вильямс, 2010
2. Маккоу А. Веб-приложения на JavaScript. Санкт-Петербург: Питер, 2012
3. Низамутдинов М. Тактика защиты и нападения на web-приложения. Санкт-Петербург: «БХВ Петербург», 2005.
4. Скембрей Д. Секреты хакеров. Безопасность Web-приложений - готовые решения. Москва: Вильямс, 2003
5. Стотлемайер Д. Тестирование Web-приложений. Москва: КУДИЦ-Образ, 2003
Форма заказа новой работы
Не подошла эта работа?
Закажи новую работу, сделанную по твоим требованиям
