Пример готовой курсовой работы по предмету: Информационная безопасность
Содержание
ВВЕДЕНИЕ………………………………………………………………………………………………..5
1 КЛАССИФИКАЦИЯ УГРОЗ ДЛЯ WEB-ПРИЛОЖЕНИЙ…………………………7
1.1Аутентификация (Authentication).
……………………………………………………………7
1.1.1 Подбор (Brute Force).
…………………………………………………………………………..8
1.1.2 Недостаточная аутентификация (Insufficient Authentication).
………………..8
1.1.3 Небезопасное восстановление паролей (Weak Password Recovery Validation)…………………………………………..………………………………9
1.2 Авторизация……………………………………………………………………………………..9
1.2.1 Предсказуемое значение идентификатора сессии (Credential/Session Prediction)………………………………………………………………………………………….10
1.2.2 Недостаточная авторизация (Insufficient Authorization).
……………………..10
1.2.3 Отсутствие таймаута сессии (Insufficient Session Expiration).
………………10
1.3 Атаки на клиентов (Client-side Attacks).
………………………………………………..12
1.3.1 Подмена содержимого (Content Spoofing).
…………………………………………12
1.3.2 Межсайтовое выполнение сценариев (Cross-site Scripting, XSS).
………..13
1.3.3 Расщепление HTTP-запроса (HTTP Response Splitting).
……………………..13
1.4 Выполнение кода……………………………………………………………………….15
1.4.1 Переполнение буфера (Buffer Overflow).
……………………………………………15
1.4.2 Атака на функции форматирования строк (Format String Attack).
……….16
1.4.3 Внедрение операторов LDAP (LDAP Injection).
………………………………….16
1.4.4 Выполнение команд ОС (OS Commanding).
……………………………………….16
1.4.5 Внедрение операторов SQL (SQL Injection).
………………………………………17
1.4.6 Внедрение серверных сценариев (SSI Injection).
…………………………………17
1.4.7 Внедрение операторов XPath (XPath Injection).
………………………………….17
1.5 Разглашение информации………………………………………………………………18
1.5.1 Индексирование директорий (Directory Indexing).
………………………………18
1.5.2 Идентификация приложений (Web Server/Application Fingerprinting).
…19
1.5.3 Утечка информации (Information Leakage).
………………………………………..20
1.5.4 Обратный путь в директориях (Path Traversal)…………………………………..20
1.5.5 Предсказуемое расположение ресурсов (Predictable Resource Location)…………………………………………………………………………..21
1.6 Логические атаки…………………………………………………………………….22
1.6.1 Злоупотребление функциональными возможностями (Abuse of Functionality)……………………………………………………………………………..22
1.6.2 Отказ в обслуживании (Denial of Service).
………………………………………….22
1.6.3 Недостаточное противодействие автоматизации (Insufficient Anti-automation)…………………………………………………………………………………23
1.6.4 Недостаточная проверка процесса (Insufficient Process Validation).
……..23
2 РАЗРАБОТКА ЗАЩИТЫ………………………………………………………………25
2.1 Аутентификация………………………………………………………………………25
2.1.1 Полный перебор или метод «грубой силы»……………………………………….25
2.1.2 Недостаточная аутентификация……………………………………………………28
2.1.3 Небезопасное восстановление паролей……………………………………………29
2.2 Авторизация…………………………………………………………………………..30
2.2.1 Предсказуемое значение идентификатора сессии……………………………….30
2.2.2 Недостаточная авторизация………………………………………………………..30
2.2.3 Отсутствие таймаута сессии……………………………………………………….30
2.2.4 Фиксация сессии……………………………………………………………………31
2.3 Атаки на клиентов……………………………………………………………………31
2.3.1 Подмена содержимого……………………………………………………………..31
2.3.2 Межсайтовое выполнение сценариев…………………………………………….31
2.3.3 Расщепление HTTP-запроса……………………………………………………….32
2.4 Выполнение кода……………………………………………………………………..32
2.4.1 Переполнение буфера……………………………………………………………..32
2.4.2 Атака на функции форматирования строк………………………………………..32
2.4.3 Внедрение операторов LDAP………………………………………………………32
2.4.4 Выполнение команд ОС……………………………………………………………32
2.4.5 Внедрение операторов SQL………………………………………………………..32
2.4.6 Внедрение серверных сценариев………………………………………………….33
2.4.7 Внедрение операторов XPath………………………………………………………34
2.5 Разглашение информации…….………………………………………………………34
2.5.1 Индексирование директорий………………………………………………………34
2.5.2 Идентификация приложений….…………………………………………………..34
2.5.3 Утечка информации………….…………………………………………………….35
2.5.4 Обратный путь в директориях …………………………………………………….35
2.5.5 Предсказуемое расположение ресурсов…………………………………………..35
2.6 Логические атаки……………………………………………………………………..35
2.6.1 Злоупотребление функциональными возможностями………………………..35
2.6.2 Отказ в обслуживании……….……………………………………………………..35
2.6.3 Недостаточное противодействие автоматизации………………………………..35
2.6.4 Недостаточная проверка процесса…………………………………………………36
3 НАСТРОЙКА ПРОГРАММЫ PAROS PROXY SERVER ………………………..37
3.1 О программе Paros Proxy Server……………………………………………………..37
3.2 Введение………………………………………………………………………………38
3.3 Crawler (поисковый паук)……..…………………………………………………….38
3.4 Сканнер уязвимостей……..………………………………………………………….39
3.5 Фильтр данных……………………………………………………………………….41
3.6 Перехватчик запросов/ответов в режиме «on-the-fly»(на лету).
……………..42
3.7 Дополнительный функционал….……………………………………………………42
3.8 Использование программы ….……………………………………………………….44
ЗАКЛЮЧЕНИЕ………. ….………………………..…………………………………….47
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ..…………………………………..48
Выдержка из текста
Web-приложение — клиент-серверное приложение, в котором клиентом выступает браузер, а сервером — web-сервер. Логика web-приложения распределена между сервером и клиентом, хранение данных осуществляется, преимущественно, на сервере, обмен информацией происходит по сети. Одним из преимуществ такого подхода является тот факт, что клиенты не зависят от конкретной операционной системы пользователя, поэтому web-приложения являются межплатформенными сервисами.
Появление веб-приложений тесно связано с развитием Web 2.0. Сервисом, который можно считать первым web-приложением, можно назвать сервис, которым пользуются сегодня миллионы пользователей – Google.
Именно Google стал тем сервисом, который полностью отошел от старых принципов разработки и распространения программного обеспечения. Его создатели ушли от лицензирования продукта и его продажи, установки постоянных обновлений и всего того, что мы привыкли видеть в традиционной софтверной индустрии. Продукт просто постоянно улучшался, а пользователи, сами того не подозревая, косвенно платили за его использование.
Список использованной литературы
1. Веллинг Л. Разработка веб-приложений с помощью PHP и MySQL. Москва: Вильямс, 2010
2. Маккоу А. Веб-приложения на JavaScript. Санкт-Петербург: Питер, 2012
3. Низамутдинов М. Тактика защиты и нападения на web-приложения. Санкт-Петербург: «БХВ Петербург», 2005.
4. Скембрей Д. Секреты хакеров. Безопасность Web-приложений — готовые решения. Москва: Вильямс, 2003
5. Стотлемайер Д. Тестирование Web-приложений. Москва: КУДИЦ-Образ, 2003
