Пример готовой дипломной работы по предмету: Информационные технологии
Содержание
ОГЛАВЛЕНИЕ
ГЛАВА
1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ РАЗРАБОТКИ WEB ПРИЛОЖЕНИЙ 3
1.1 Классификация и особенности технологий разработки Web-приложений 6
1.2 Средства разработки Web-приложений 14
1.3 Основные принципы программирования и этапы разработки Web-приложений с учетом требований безопасности 19
ГЛАВА
2. АНАЛИЗ МЕХАНИЗМОВ ЗАЩИТЫ WEB ПРИЛОЖЕНИЙ 25
2.1 Современные проблемы информационной безопасности Web приложений 25
2.2 Основные уязвимости в безопасности Web –приложений 27
2.3 Основные методы защиты и программные средства обнаружения уязвимостей Web-приложений 44
ГЛАВА
3. РАЗРАБОТКА И РЕАЛИЗАЦИЯ РЕКОМЕНДАЦИЙ ПО ПОВЫШЕНИЮ БЕЗОПАСНОСТИ WEB-ПРИЛОЖЕНИЙ 25
3.1 Разработка Web-приложения с учетом требований безопасности 51
3.2 Внедрение системы обнаружения уязвимостей Web-приложений 56
3.3 Расчет экономического эффекта от внедрения рекомендаций по повышению безопасности Web-приложений 69
3.3.1 Анализ экономической эффективности создания Web-сайта 69
3.3.2 Анализ экономической эффективности от внедрения системы безопасности 69
ЗАКЛЮЧЕНИЕ 80
ГЛОССАРИЙ 83
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 86
Выдержка из текста
ВВЕДЕНИЕ
Актуальность темы исследования заключается в том, что согласно статистическим данным, предоставленным компанией Positive Technologies, на 2014 год почти половина Web-приложений имеют уязвимости [1].
Вероятность найти критическую ошибку в Web-приложении с помощью автоматического сканирования составляет 35 и 80% в результате экспертного анализа. Таким образом, современные Web-приложения уязвимы не только для атак квалифицированных злоумышленников, но и от атак новичков.
Сеть Интернет стала новой площадкой для бизнеса. В сети Интернет осуществляются покупка и продажа с уже широко использованной системой «Электронных денег». Доверяя сети свою конфиденциальную информацию, свои финансы субъекты хотят быть уверенными в их защите от мошенников, поэтому очень остро стоит вопрос защиты информации Web-порталов. Современный Web-портал невозможен без использования Web-приложений, на которые часто направляют свои атаки злоумышленники. Web-приложения становятся все более распространенными и все более сложными, поэтому, как и во всех системах, основанных на взаимодействии между клиентом и сервером, уязвимости Web-приложений обычно возникают из-за некорректной обработки запросов клиента и/или недостаточной проверке входящей информации со стороны разработчика. Сама природа Web-приложений — их способность сопоставлять, образовывать и распространять информацию через Интернет — делает их вдвойне уязвимыми.
Во-первых, что самое очевидное, они полностью открыты в результате необходимости обеспечения публичного доступа. Это делает невозможным применение техники «security through obscurity» (Безопасность за счет сокрытия информации) и повышает требование к устойчивости кода.
Во-вторых, что важно с точки зрения тестирования на проникновение, они обрабатывают данные из запросов HTTP-протокола — протокола, который может использовать множество способов кодирования информации.
Большинство сред, в которых выполняются приложения, передают эти данные разработчику таким образом, что он не в состоянии определить, откуда они были получены и, следовательно, какой проверке должны быть подвержены. Поскольку Web-среда настолько многообразна и содержит много форм программного контента, контроль ввода и проверки достоверности данных является ключевым фактором для обеспечения безопасности Web-приложений. Это включает в себя как выявление областей возможных значений для всех элементов данных, вводимых пользователем, так и достаточное понимание того, откуда поступает информация, с целью определения тех данных, которые могут быть заданы пользователем.
В процессе обеспечения безопасности задействованы разработчики Web-приложений, специалисты по их развертыванию и интеграции, а также лица, ответственные за безопасность рабочих и личных компьютеров – основного средства доступа к Web-приложениям. Нельзя ограничиваться одной или нескольких из перечисленных областей для защиты, необходимо уделять внимание всей инфраструктуре Web-приложений. И если многие проблемы безопасности серверной стороны уже давно известны и имеют решение, то о клиентской стороне часто забывают.
В качестве объекта исследования в выпускной квалификационной работе выступают «Современные Web-приложения», а предметом исследования – «Уязвимости Web-приложений».
Цель работы: анализ современных Web-приложений на предмет поиска уязвимостей и нахождения эффективных механизмов их защиты.
Для достижения поставленной цели необходимо решить следующие задачи:
1) провести классификацию и выделить особенности технологий разработки Web-приложений;
2) рассмотреть основные средства разработки Web-приложений;
3) провести анализ основных методов защиты и программных средств обнаружения уязвимостей Web-приложений;
4) разработать и внедрить систему обнаружения уязвимости Web-приложений на основе выработанных рекомендаций;
5) выполнить расчет экономической эффективности от внедрения рекомендаций по повышению безопасности Web-приложений.
Теоретическая значимость работы заключается в том, что проанализированные угрозы позволяют более ясно представить картину небезопасных путешествий по сети Интернет, а исследование технических возможностей средств защиты позволяет понять, как средства защиты противостоят угрозам и атакам злоумышленников;
Практическая значимость работы заключается в том, что реализованная система обнаружения уязвимостей Web-приложений может быть использована для обучения студентов дисциплине «Безопасность Интернет — технологий и Web-приложений», а также на предприятиях.
При написании выпускной квалификационной работы использовались научные труды следующих авторов: П.Ташков 2, Х.Марти 3, Л.Томсон 4, А.С.Строганов 5, Р. И.Допира 6, Д.Ленгсторф 7, К.Дари 8 и другие.
Выпускная квалификационная работы состоит из введения, трех основных глав, заключения, списка использованной литературы и приложений.
В первой главе работ рассматривается классификация и особенности технологий разработки Web-приложений, основные принципы программирования и этапы разработки Web-приложений.
Во второй главе рассмотрены основные уязвимости в безопасности Web –приложений и проанализированы основные методы защиты.
В третьей главе разработана система обнаружения уязвимостей Web-приложений и выполнен расчет экономической эффективности от внедрения рекомендаций.
Список использованной литературы
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Алексунин, В.А. Электронная коммерция и маркетинг в Интернете: Учебное пособие. – 3-е изд. / В.А. Алексунин, В.В. Родигина. – М.:Издательско-торговая корпорация «Дашков и К», 2008. – 214 с.
2. Бенкен, Е. PHP, MySQL, XML. Программирование для Интернета (+ CD-ROM): Елена Бенкен – СПб: БХВ-Петербург, 2012. – 336 с.
3. Борисенко А.А. Web-дизайн. Просто как дважды два. – М.: Эксмо, 2008.- 320 с.
4. Вламис, Э. Yahoo!: секреты самой популярной в мире Интернет-компании. / Э. Вламис, Б. Смит. – М.: СмартБук, 2008. – 251 с.
5. Гуров, Ф.Н. Продвижение бизнеса в Интернет: все о PR и рекламе в сети / Ф.Н. Гуров. – М.: Вершина, 2008. – 136 с.
6. Горнаков, С. Секреты управления сайтом / С. Горнаков – Москва, ДМК Пресс, 2010. – 336 с.
7. Дари, К. AJAX и PHP. Разработка динамических Web-приложений / К. Дари [и др.]; под ред. Кристиана Дари. – М.: Символ-Плюс, 2009. – 336 с.
8. Дари, К. PHP и MySQL. Создание интернет-магазина / К. Дари, Э. Баланеску – СПб: Вильямс, 2010. – 640 с.
9. Допира Р. И. Разработка Web-приложения с применением технологии ASP.NET [Текст]
/ Р. И. Допира, Н. В. Попова, К. М. Базикова // Молодой ученый. — 2014. — № 2. — С. 84-87.
10. Дунаев, Д. Сценарии для Web-сайта. PHP и JavaScript / В. Дунаев – СПб: БХВ-Петербург, 2008. – 576 с.
11. Зандстра, М. PHP. Объекты, шаблоны и методики программирования: Мэтт Зандстра – СПб: Вильямс, 2011. – 560 с.
12. Кобелев, О.А. Электронная коммерция: Учебное пособие / О.А. Кобелев [и др.]; под ред. С.В. Пирогова. – 3-е изд. – М.: Издательско-торговая корпорация «Дашков и Ко», 2008. – 684 с.
13. Козье, Д. Электронная коммерция: Пер. с англ. – М: Издательско-торговый дом «Русская редакция», 2011. – 288 с.
14. Кришнамурти, Б. Web-протоколы. Теория и практика / Б. Кришнамурти [и др.]; под ред. Дж. Рексфорда. – М.: ЗАО «Издательство БИНОМ», 2010. – 592 с.
15. Колегов Д. Н. Общий метод аутентификации HTTP-сообщений в Web-приложениях на основе хеш-функций, ПДМ. Приложение, 2014, № 7, 85– 89.
16. Котеров, Д. PHP 5 / Д. Котеров, А. Костарев – СПб: БХВ-Петербург, 2008. – 1104 с.
17. Кузнецов, М. PHP. Народные советы (+ CD-ROM): Максим Кузнецов СПб: БХВ-Петербург, 2012. – 368 с.
18. Кузнецов М., Симдянов И. PHP 5/6. — Спб.: «БХВ-Петербург», 2009. — 1024 с.
19. Ленгсторф, Д. PHP и jQuery для профессионалов / Д. Ленгсторф – СПб: Вильямс, 2011. – 362 с.
20. Мак-Дональд М., Адам Фримен, Марио Шпушта. Microsoft ASP.NET 4 с примерами на C# 2010 для профессионалов. Издательство: Вильямс, 2011.
21. Марти, Х. Программирование для Web. Библиотека профессионала / М. Холл, Б. Лэрри; пер. с англ. В.В. Вейтмана. – М.: Издат. дом «Вильямс», 2010. – 1264 с.
22. Мелиховой, Л.Г. Интернет. Энциклопедия, 2-е изд. / Л.Г. Мелихова [и др.]; под ред. Л.Г. Мелиховой. – СПб: ПИТЕР, 2011. – 398 с.
23. Райт, Дж. Блог-маркетинг. Новый революционный путь увеличения продаж, усиления потенциала бренда и достижения выдающихся результатов в бизнесе / Джереми Райт, [пер. с англ., ред. Ю.А. Логинова].
– М.: Эксмо, 2008. – 272 с.
24. Соломенчук, В. Интернет: краткий курс, 2-е изд./ В. Соломенчук. – СПб: ПИТЕР, 2011. – 298 с.
25. Строганов, А.С. Ваш первый сайт с использованием PHP-скриптов / А.С. Строганов – СПб: Диалог-МИФИ, 2008. – 288 с.
26. Симдянов, И. Объектно-ориентированное программирование на PHP (+ CD-ROM) / М. Кузнецов, И. Симдянов – СПб: БХВ-Петербург, 2012. – 608 с.
27. Саундерс, Р. Dell: секреты лучшего в мире компьютерного бизнеса. / Р. Саундерс – М.: СмартБук, 2008. – 202 с.
28. Ташков П. Web-мастеринг на 100%. HTML, CSS, JavaScript, PHP, CMS, AJAX, раскрутка / Петр Ташков – СПб: Питер, 2010. – 512 с.
29. Томсон Л. Разработка Web-приложений с помощью PHP и MySQL: Лора Томсон – М.: Вильямс, 2010. – 848 с.
30. Шапошников, И.В. PHP 5.1 / И. Шапошников – СПБ: Питер, 2012. – 192 с.
31. Шапошников, И.В. Справочник Web-мастера. XML. / И.В. Шапошников – СПб.: БХВ-Петербург, 2011. – 304 с.
32. Юрасов, А.В. Основы электронной коммерции – Учебник для вузов. / А.В. Юрасов – М.: Горячая линия (издательство).
Телеком, 2008. – 480 с.
33. Безопасность Web-приложений. [Электронный ресурс].
URL: http://www.fortconsult.net/ru/ваши-трудности/безопасность-Web-приложений (дата обращения: 15.09.2014).
34. Бык А. Национальная идея Казахстана // Интернет газета Zonakz [Электронный ресурс]
- Режим доступа. — URL: http://bibliofond.ru/ view.aspx?id=446482 (дата обращения: 11.09.2014).
35. Доклад «Интернет в России состояние, тенденции и перспективы развития», Федеральное агентство по печати и массовым коммуникациям, 2011. jQuery документация // jQuery documentation. URL: http://docs.jquery.com/Main_Page (дата обращения: 21.09.2014).
36. Сравнение Python с другими языками // [Электронный ресурс]
- Режим доступа. — URL: http://www.edu-main.narod.ru/Programming/ stats/python.html (дата обращения: 21.09.2014).
37. Уязвимость CSRF. Введение. [Электронный ресурс]
- Режим доступа. — URL: http://intsystem.org/768/learn-about-csrf-intro/ (дата обращения: 17.09.2014).
38. Cenzic App Security Trends. [Электронный ресурс]
- Режим доступа. — URL: // http://www.cenzic.com/downloads/Cenzic_AppSecTrends_Q1-Q2-2009.pdf (дата обращения: 27.09.2014).
39. JavaScriptMVC – официальный сайт. Главная страница. // JavaScriptMVC – an open source javascript framework. URL: http://javascriptmvc.com (дата обращения: 07.09.2014).
40. JavaScriptMVC версия 1.5. [Электронный ресурс]
- Режим доступа. — URL: // JavaScriptMVC 1.5, URL: http://1-5.javascriptmvc.com (дата обращения: 20.09.2014).
41. PHPMD Current Rulsets. [Электронный ресурс]
- Режим доступа. — URL: http://phpmd.org/rules/index.html , 2011 (дата обращения: 27.08.2014).
42. Shah S. An Introduction to HTTP fingerprinting [HTML]
(http://net-square.com/httprint/httprint_paper.html ) (дата обращения: 04.09.2014).
43. Software Metrics supported by PHP_Depend. http://pdepend.org/documentation/software-metrics/index.html , 2011 (дата обращения: 24.09.2014).
44. Web Application Security Trends Report Q3-Q4. [Электронный ресурс]
- Режим доступа. — URL: http://www.cenzic.com/ Cenzic, Inc. 2011 (дата обращения: 14.09.2014).
45. XSS атака сайта и способы защиты. Как сделать и проверить XSS уязвимость. [Электронный ресурс]
- Режим доступа. — URL: http://consei.ru/xss-ataka-sajta-i-sposoby-zashhity/ (дата обращения: 04.09.2014).
