Вход

Исследование угроз для web-приложений

Рекомендуемая категория для самостоятельной подготовки:
Курсовая работа*
Код 592077
Дата создания 2013
Страниц 48
Мы сможем обработать ваш заказ (!) 18 ноября в 12:00 [мск]
Файлы будут доступны для скачивания только после обработки заказа.
950руб.
КУПИТЬ

Содержание

ВВЕДЕНИЕ..............................................................................................................5
1 КЛАССИФИКАЦИЯ УГРОЗ ДЛЯ WEB-ПРИЛОЖЕНИЙ..............................7
1.1Аутентификация (Authentication)......................................................................7
1.1.1 Подбор (Brute Force).......................................................................................8
1.1.2 Недостаточная аутентификация (Insufficient Authentication).....................8
1.1.3 Небезопасное восстановление паролей (Weak Password Recovery Validation)…………………………………………..……………………………...9
1.2 Авторизация……………...................................................................................9
1.2.1 Предсказуемое значение идентификатора сессии (Credential/Session Prediction)……………………...............................................................................10
1.2.2 Недостаточная авторизация (Insufficient Authorization)...........................10
1.2.3 Отсутствие таймаута сессии (Insufficient Session Expiration)...................10
1.3 Атаки на клиентов (Client-side Attacks).........................................................12
1.3.1 Подмена содержимого (Content Spoofing).................................................12
1.3.2 Межсайтовое выполнение сценариев (Cross-site Scripting, XSS)............13
1.3.3 Расщепление HTTP-запроса (HTTP Response Splitting)...........................13
1.4 Выполнение кода…………………………….................................................15
1.4.1 Переполнение буфера (Buffer Overflow)....................................................15
1.4.2 Атака на функции форматирования строк (Format String Attack)...........16
1.4.3 Внедрение операторов LDAP (LDAP Injection).........................................16
1.4.4 Выполнение команд ОС (OS Commanding)...............................................16
1.4.5 Внедрение операторов SQL (SQL Injection)..............................................17
1.4.6 Внедрение серверных сценариев (SSI Injection)........................................17
1.4.7 Внедрение операторов XPath (XPath Injection).........................................17
1.5 Разглашение информации…………………...................................................18
1.5.1 Индексирование директорий (Directory Indexing).....................................18
1.5.2 Идентификация приложений (Web Server/Application Fingerprinting)....19
1.5.3 Утечка информации (Information Leakage)................................................20
1.5.4 Обратный путь в директориях (Path Traversal)…......................................20
1.5.5 Предсказуемое расположение ресурсов (Predictable Resource Location)…………………………………………………………………………..21
1.6 Логические атаки…………………………………….....................................22
1.6.1 Злоупотребление функциональными возможностями (Abuse of Functionality)……………………………………………......................................22
1.6.2 Отказ в обслуживании (Denial of Service)..................................................22
1.6.3 Недостаточное противодействие автоматизации (Insufficient Anti-automation)……………………………………………..........................................23
1.6.4 Недостаточная проверка процесса (Insufficient Process Validation).........23
2 РАЗРАБОТКА ЗАЩИТЫ…………………………..........................................25
2.1 Аутентификация…………………………………..........................................25
2.1.1 Полный перебор или метод «грубой силы»…...........................................25
2.1.2 Недостаточная аутентификация………………..........................................28
2.1.3 Небезопасное восстановление паролей………..........................................29
2.2 Авторизация……………………………………….........................................30
2.2.1 Предсказуемое значение идентификатора сессии.....................................30
2.2.2 Недостаточная авторизация…………………….........................................30
2.2.3 Отсутствие таймаута сессии……………………........................................30
2.2.4 Фиксация сессии………………………………….......................................31
2.3 Атаки на клиентов………………………………….......................................31
2.3.1 Подмена содержимого………………………….........................................31
2.3.2 Межсайтовое выполнение сценариев…………….....................................31
2.3.3 Расщепление HTTP-запроса……………………........................................32
2.4 Выполнение кода………………………………….........................................32
2.4.1 Переполнение буфера……………………………......................................32
2.4.2 Атака на функции форматирования строк…….........................................32
2.4.3 Внедрение операторов LDAP…………………..........................................32
2.4.4 Выполнение команд ОС………………………….......................................32
2.4.5 Внедрение операторов SQL…………………….........................................32
2.4.6 Внедрение серверных сценариев………………........................................33
2.4.7 Внедрение операторов XPath…………………..........................................34
2.5 Разглашение информации…….…………………..........................................34
2.5.1 Индексирование директорий…………………….......................................34
2.5.2 Идентификация приложений….…………………......................................34
2.5.3 Утечка информации………….…………………........................................35
2.5.4 Обратный путь в директориях …………………........................................35
2.5.5 Предсказуемое расположение ресурсов……….........................................35
2.6 Логические атаки………………………………….........................................35
2.6.1 Злоупотребление функциональными возможностями.............................35
2.6.2 Отказ в обслуживании……….………………….........................................35
2.6.3 Недостаточное противодействие автоматизации......................................35
2.6.4 Недостаточная проверка процесса……………..........................................36
3 НАСТРОЙКА ПРОГРАММЫ PAROS PROXY SERVER .............................37
3.1 О программе Paros Proxy Server………………….........................................37
3.2 Введение…………………………………………….......................................38
3.3 Crawler (поисковый паук)……..…………………........................................38
3.4 Сканнер уязвимостей……..………………………........................................39
3.5 Фильтр данных…………………...………………….....................................41
3.6 Перехватчик запросов/ответов в режиме «on-the-fly»(на лету)..................42
3.7 Дополнительный функционал….………………….......................................42
3.8 Использование программы ….…………………...........................................44
ЗАКЛЮЧЕНИЕ………. ….………………………..…........................................47
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ..…......................................48

Введение

Web-приложение — клиент-серверное приложение, в котором клиентом выступает браузер, а сервером — web-сервер. Логика web-приложения распределена между сервером и клиентом, хранение данных осуществляется, преимущественно, на сервере, обмен информацией происходит по сети. Одним из преимуществ такого подхода является тот факт, что клиенты не зависят от конкретной операционной системы пользователя, поэтому web-приложения являются межплатформенными сервисами.
Появление веб-приложений тесно связано с развитием Web 2.0. Сервисом, который можно считать первым web-приложением, можно назвать сервис, которым пользуются сегодня миллионы пользователей – Google.
Именно Google стал тем сервисом, который полностью отошел от старых принципов разработки и распространения программного обеспечения. Его создатели ушли от лицензирования продукта и его продажи, установки постоянных обновлений и всего того, что мы привыкли видеть в традиционной софтверной индустрии. Продукт просто постоянно улучшался, а пользователи, сами того не подозревая, косвенно платили за его использование.

Фрагмент работы для ознакомления

Целью данной курсовой работы является изучение различных уязвимостей web-приложений и различных способов исправления этих уязвимостей.

Список литературы

1. Веллинг Л. Разработка веб-приложений с помощью PHP и MySQL. Москва: Вильямс, 2010
2. Маккоу А. Веб-приложения на JavaScript. Санкт-Петербург: Питер, 2012
3. Низамутдинов М. Тактика защиты и нападения на web-приложения. Санкт-Петербург: «БХВ Петербург», 2005.
4. Скембрей Д. Секреты хакеров. Безопасность Web-приложений - готовые решения. Москва: Вильямс, 2003
5. Стотлемайер Д. Тестирование Web-приложений. Москва: КУДИЦ-Образ, 2003
Очень похожие работы
Найти ещё больше
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.
* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала. Данный материал ни целиком, ни любая из его частей не является готовым научным трудом, выпускной квалификационной работой, научным докладом или иной работой, предусмотренной государственной системой научной аттестации или необходимой для прохождения промежуточной или итоговой аттестации. Данный материал представляет собой субъективный результат обработки, структурирования и форматирования собранной его автором информации и предназначен, прежде всего, для использования в качестве источника для самостоятельной подготовки работы указанной тематики.
bmt: 0.00426
© Рефератбанк, 2002 - 2024