Дипломных проектов Моя тема изначальная




Скачать 233.29 Kb.
НазваниеДипломных проектов Моя тема изначальная
страница1/2
Дата публикации28.03.2013
Размер233.29 Kb.
ТипДиплом
www.vbibl.ru > Информатика > Диплом
  1   2
Разработка механизмов обеспечения безопасности современных веб-технологий – взято из методички возможных тем дипломных проектов

Моя тема изначальная:

«Разработка системы автоматического восстановления работоспособности сайта на основе использования Subnersion при несанкционированном изменении PHP-скриптов»

Варианты изменения:

«Разработка механизма обеспечения защищенного функционирования сайта на основе использования системы Subversion»

Или

«Разработка механизма обеспечения безопасности сайта на основе использования системы Subversion»

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

  1. ^ ОБОСНОВАНИЕ НЕОБХОДИМОСТИ РАЗРАБОТКИ СИСТЕМЫ АВТОМАТИЧЕСКОГО КОНТРОЛЯ ЦЕЛОСТНОСТИ СКРИПТОВ САЙТА (АНАЛИЗ МЕТОДОВ И СРЕДСТВ ЗАЩИТЫ WEB-ПРИЛОЖЕНИЙ)

    1. ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ

    1. ^ УГРОЗЫ БЕЗОПАСНОСТИ САЙТА И ИХ КЛАССИФИКАЦИЯ

    2. СОВРЕМЕННЫЕ МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ САЙТОВ

    3. НЕДОСТАТКИ СУЩЕСТВУЮЩИХ СРЕДСТВ ЗАЩИТЫ

    4. ^ СХЕМА РАБОТЫ С SUBVERSION

    5. ПОСТАНОВКА ЗАДАЧИ НА ДИПЛОМНОЕ ПРОЕКТИРОВАНИЕ

ВЫВОДЫ ПО РАЗДЕЛУ

ВВЕДЕНИЕ

С проблемой безопасности и защиты сайтов и Web-приложений рано или поздно приходится сталкиваться владельцу любого хоть сколько-нибудь ценного ресурса. И с течением времени, учитывая тенденцию к переносу стандартных клиент-серверных приложений в Web-среду, можно констатировать, что актуальность защиты online-приложений только растет.

Проблема обеспечения безопасности сайтов актуальна как для крупных популярных, так и для небольших и не очень посещаемых. В настоящее время в Internet получили распространение «троянские программы», поражающие веб-сайты; программы, занимающиеся автоматической рассылкой спама с веб-сайтов; программы для фишинга и т.п.; софт, работающий практически «без участия человека». Подобные программы используют и могут нанести ущерб любому плохо защищенному ресурсу. В результате этого может произойти потеря, разрушение или нарушение содержимого выполняемых сценариев сайта на сервере, что способно нанести серьезный ущерб разработчикам, которым придется спешно переписывать сайт или восстанавливать все нуля. Возможно, работу сайта придется приостановить на время, требующееся разработчикам для восстановления, что в свою очередь может вызвать потерю клиентов.

Во избежание потери важных для разработчиков данных вопрос безопасности нужно решать как на этапе разработки веб-сайта, так и в процессе его функционирования. На этапе разработки необходимо использовать встроенные средства защиты языка, на котором разрабатывается сценарий. Чтобы обеспечить безопасность функционирующего сайта необходимо использовать шифрование, а также средства защиты со стороны операционной системы и сервера.

Для решения проблемы обеспечения безопасности функционирующего сайта в данном дипломном проекте предлагается использовать систему контроля версий Subversion. Subversion позволяет хранить изменения, произведенные над группой файлов. Для выполняемых сценариев сайта это означает, что всегда имеется их интеллектуальная резервная копия.

Данная проблема обусловила выбор темы данного дипломного проектирования: «Разработка механизма обеспечения защищенного функционирования сайта на основе использования системы Subversion» и ее актуальность.

Целью дипломного проекта является разработка механизма обеспечения защищенного непрерывного функционирования сайта. Для этого будет разработана система автоматического восстановления работоспособности сайта на основе использования Subversion, в случае несанкционированного изменения PHP-сценариев. Использование системы Subversion позволит не только спасти случайно или преднамеренно поврежденные или удаленные файлы сценариев, но и выбрать возможность восстановления их до предыдущего состояния. Будет разработан PHP-модуль, следящий за целостностью рабочих PHP-сценариев сайта, и в случае их повреждения или удаления в результате атак различного рода будет восстанавливать их содержимое, подкачивая оригиналы из репозитория Subversion. Также будет существовать возможность обновления версии рабочих PHP-файлов сайта из репозитория Subversion по желанию разработчиков. При этом предполагается, что Subversion и исполняемые файлы сайта находятся на разных серверах для большей надежности.

  1. Методы атак на Web-приложениям



  1. Выяснение параметров сервера, операционной системы, версии скриптов.

  2. XSS(CSS)-вставка кода в параметры скриптов или в поля форм.

  • Кража cookie или перехват сессии;

  • Вывод надписей типа «Hacked by Vasya»;

  • Вирусная атака на отдельного пользователя

Методы проведения XSS-атак:

1. XSS-нападение с использованием кодировки UTF-7.

2. XSS-нападение через Flash-анимации.

3. XSS нападение через протокол DATA.

4. XSS-нападение через PNG-изображение.

  1. SQL-injection

Атака SQL-Injection на БД- атака, при которой хакер вставляет SQL-запросы в строку URL вместо определенного параметра, и программа выполняет этот запрос.

  1. CSRF (Cross-Site Request Forgery)- меж-сайтовая подделка запроса. Данный тип атак направлен на имитирование запроса пользователя к стороннему сайту.

  2. Include-атаки. Взломщик при определенном стечении обстоятельств получает возможность подключения локальных или удаленных файлов к скрипту. К лучшем, для нападающего, случае он может подключить и выполнить произвольный PHP-код. В худшем – это будет html-код, включающийся прямо в страницу. Это автоматически переводит подобную уязвимость в разряд XSS.

  3. CRLF-injection – это довольно старый вид атак, но до сих пор актуальный. Подобные атаки представляют из себя внедрение символа переноса строки куда-либо - будь то обычный текстовый файл или что то ещё. Интересно то что данному виду атак подвержены не только веб-приложения (как и SQL-инъекциям) но и другие продукты. Например в IIS 5 была обнаружена подобная уязвимость которая позволяла перевести строку в лог-файле и записать в него всё что угодно.

  4. XPath-инъекции.

Сейчас данные атаки не столь распространены. Раньше же данный тип атак был очень актуален из-за того что XPath-инъекции.

С давнего времени и до сих пор XML-файлы используются как базы для хранения данных. В основном это удобно тогда когда данные невозможно хранить в БД по каким-либо причинам. При работе с такими XML-базами разработчики часто используют запросы на языке XPath для того что бы ускорить поиск какой-либо информации в них.

Если пользователь может как-то влиять на тело запроса и при этом отсутствует должная фильтрация то становятся возможны атаки типа "XPath-injection". С помощью данной уязвимости злоумышленник может дописать в настоящий запрос свой код и тем самым добиться определённого результата.

Массовое применение нашли веб-приложения работающие в связке не с СУБД а с текстовыми файлами.

Возможные виды атак на Web-приложения и возможные способы их предотвращения

Web-приложения подвержены атакам всевозможного рода, что делает их уязвимыми. Как правило, это происходит от недостатка уделяемого внимания при разработке приложения или настройке веб-сервера. В данном пункте рассмотрены наиболее типичные типы атак и основные методы защиты от них.

Классификация атак по видам направленности нарушений:

  • Аутентификация

  • Авторизация

  • Атаки на стороне клиента

  • Выполнение кода

  • Разглашение информации

  • Логические атаки



  1. Аутентификация (Authentication)

Данный тип атак, посвященный аутентификации, направлен на обход или эксплуатацию уязвимостей в механизмах реализации аутентификации Web-серверов. Аутентификация использует как минимум один из трех механизмов (факторов): "что-то, что мы имеем", "что-то, что мы знаем" или "что-то, что мы есть".

Подбор (Brute Force)

Brute Force является автоматизированным процессом проб и ошибок для подбора логинов, паролей, номеров кредитных карт или криптографических ключей.

Защита:

Традиционным методом борьбы с подбором пароля является, ограничение на количество ошибочных вводов пароля. Существует множество вариантов реализаций этой идеи, от самых простых - статическое ограничение, например не более трех ошибок, до сложно реализованных динамических, с увеличивающимся промежутком времени запрета между запросами.

Недостаточная аутентификация (Insufficient Authentication)

Insufficient Authentication – уязвимост, которая возникает, когда Web-сервер позволяет атакующему получать доступ к важной информации или функциям сервера без должной аутентификации. Интерфейсы администрирования через Web - яркий пример критичных систем.

Защита:

В зависимости от специфики приложения, подобные компоненты не должны быть доступны без должной аутентификации.

Решение достаточно просто, при входе в администраторскую часть сайта, пользователь обязан провести дополнительную аутентификацию, не смотря на общую на сайте.

Небезопасное восстановление паролей (Weak Password Recovery Validation)

Weak Password Recovery Validation – уязвимость, которая возникает, когда Web-сервер позволяет атакующему несанкционированно получать, модифицировать или восстанавливать пароли других пользователей.

Защита:

Наиболее эффективным является следующее решение: пользователь нажимает кнопку «Восстановить пароль» и попадает на страницу где у него спрашивают его логин в системе и почтовый ящик указанный при регистрации. Далее на почтовый ящик высылается уведомление о запросе восстановления пароля и уникальная псевдослучайно сгенерированная ссылка на страницу смены пароля. В таком случае пароль изменить может действительно только владелец почтового ящика на который зарегистрирован аккаунт.

  1. ^ Авторизация (Authorization)



Данный раздел посвящен атакам, направленным на методы, которые используются Web-сервером для определения того, имеет ли пользователь, служба или приложение необходимые для совершения действия разрешения. Многие Web-сайты разрешают только определенным пользователям получать доступ к некоторому содержимому или функциям приложения. Доступ другим пользователям должен быть ограничен. Используя различные техники, злоумышленник может повысить свои привилегии и получить доступ к защищенным ресурсам.

Предсказуемое значение идентификатора сессии (Credential/Session Prediction)

Credential/Session Prediction является методом обмана или подражания пользователю веб-сайта, перехватывающим сессии других пользователей. Подобные атаки выполняются путем предсказания или угадывания уникального идентификатора сессии пользователя.

Зашита:

Средствами борьбы являются правильное конфигурирование web-сервера, и более надежный способ - создание собственного механизма сессий.

Недостаточная авторизация (Insufficient Authorization)

Недостаточная авторизация возникает, когда Web-сервер позволяет атакующему получать доступ к важной информации или функциям, доступ к которым должен быть ограничен.

Защита:

То, что пользователь прошел аутентификацию не означает, что он должен получить доступ ко всем функциям и содержимому сервера.

Методы борьбы - четкое разграничение прав пользователей и их возможностей.

Отсутствие таймаута сессии (Insufficient Session Expiration)

Незавершение сессии возникает в случае, если для идентификатора сессии или учетных данных не предусмотрен таймаут или его значение слишком велико. Злоумышленник может повторно использовать старые сертификаты или идентификаторы сессий для авторизации.

Защита:

Метод борьбы прост, ограничение таймаута сессии.

Фиксация сессии (Session Fixation)

Фиксация сессии является методом нападения, который принудительно устанавливает идентификатор сессии в определенное значение.

  1. ^ Атаки на стороне клиентов (Client-side Attacks)

Этот тип атак на стороне клиента связан с злоупотреблениями или использованием пользователей веб-сайта. Когда пользователь посещает веб-сайт, между двумя сторонами устанавливается технологическое и психологическое доверие. Пользователь ожидает, что веб-сайты, которые он посещает, предоставляют действительное содержание. Кроме того, пользователь не ожидает атак со стороны сайта. Эксплуатируя это доверие, злоумышленник может использовать различные методы для проведения атак на клиентов сервера.

Подмена содержимого (Content Spoofing)

Подмена содержимого – атака, при которой злоумышленник заставляет пользователя поверить, что страницы сгенерированы Web-сервером, а не переданы из внешнего источника.

Защита:

Ошибка является «детской», т. е. Для защиты от данного вида атак нужно лишь отказать от использования фреймов и самое главное никогда не передавать в параметрах абсолютные или локальные пути к каким-бы то ни было файлам.

Межсайтовое выполнение сценариев (Cross-site Scripting, XSS)

Наличие уязвимости Cross-site Scripting позволяет атакующему передать серверу исполняемый код, вставленный в параметры скриптов или в поля форм, который будет перенаправлен браузеру пользователя.

  • Кража cookie или перехват сессии;

  • Вывод надписей типа «Hacked by Vasya»;

  • Вирусная атака на отдельного пользователя

Методы проведения XSS-атак:

1. XSS-нападение с использованием кодировки UTF-7.

2. XSS-нападение через Flash-анимации.

3. XSS нападение через протокол DATA.

4. XSS-нападение через PNG-изображение.

Защита:

На данный момент самый распространенный вид атаки. Интернет наполнился различными формами обратной связи, к сожалению многие из них не фильтруются должным образом, особую сложность представляют формы в которых разрешены некоторые теги или какие- конструкции форматирования, защитится же от XSS можно только путем тщательного анализа и фильтрации пришедших в запросах данных.

Расщепление HTTP-запроса (HTTP Response Splitting)

Расщепление HTTP-запроса – атака, при которой злоумышленник посылает серверу специальным образом сформированный запрос, ответ на который интерпретируется целью атаки как два разных ответа.

Второй ответ полностью контролируется злоумышленником, что дает ему возможность подделать ответ сервера.
  1   2

Добавить документ в свой блог или на сайт

Похожие:

Дипломных проектов Моя тема изначальная iconПримерная тематика дипломных проектов для студентов специальности «Менеджмент организации»

Дипломных проектов Моя тема изначальная iconТемы дипломных проектов студентов-экстернов по специальности «Государственное...
Темы дипломных проектов студентов-экстернов по специальности «Государственное и муниципальное управление»

Дипломных проектов Моя тема изначальная iconМетодические указания по технико-экономическому обоснованию программных...
Выполнены в соответствии с методикой В. А. Палицына «Технико-экономическое обоснование дипломных проектов», часть Проекты программного...

Дипломных проектов Моя тема изначальная icon«Нижегородский государственный педагогический университет» (нгпу) приказ
У т в е р д и т ь темы и руководителей дипломных проектов студентов 5 курса Профессионально-педагогического института очной формы...

Дипломных проектов Моя тема изначальная iconМетодические указания по выполнению дипломных проектов по специальности...
Методические указания по выполнению дипломных проектов по специальности 230101 «Вычислительные машины, комплексы, системы и сети»...

Дипломных проектов Моя тема изначальная iconКонкурс рассматривается как механизм вовлечения молодежи в решение...
Настоящее Положение регламентирует статус и порядок проведения Всероссийского  конкурса молодежных авторских проектов, направленных...

Дипломных проектов Моя тема изначальная iconТемы и руководители
Темы и руководители дипломных проектов студентов сэи очной формы обучения, 4 курса групп мс-07-1,2, обучающихся по специальности...

Дипломных проектов Моя тема изначальная iconСамообразования
Моя предыдущая тема была связана с проблемным походом к интегрированию литературы и истории. Сегодняшняя тема «Интеграция в преподавании...

Дипломных проектов Моя тема изначальная iconИнструкция по подготовке, оформлению и представлению к защите дипломных...
Ключевые слова: специальность, квалификация, дипломная работа, образовательный стандарт, структура, организация

Дипломных проектов Моя тема изначальная iconДипломных проектов для студентов 230101 Микропроцессорная система...
Мпс принимает информацию от удаленных аналоговых и дискретных датчиков, и на основе ее обработке вырабатывает управляющие сигналы...

Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
www.vbibl.ru
Главная страница