Личный кабинет

Дипломная работаИнформационная безопасность

Готовая работа №99760 от пользователя Куклачев Дмитрий

РАЗРАБОТКА СКАНЕРА УЯЗВИМОСТИ ДЛЯ ОБНАРУЖЕНИЯ УЯЗВИМОСТЕЙ TEMPLATE INJECTION, XSS И DOM-XSS

Name: РАЗРАБОТКА СКАНЕРА УЯЗВИМОСТИ ДЛЯ ОБНАРУЖЕНИЯ УЯЗВИМОСТЕЙ TEMPLATE INJECTION, XSS И DOM-XSS
Price: 1890.00 RUB

1 890 ₽

Файл с работой можно будет скачать в личном кабинете после покупки

Страниц: 85

Год написания: 2024

Куклачев Дмитрий

Сообщить о нарушении авторских прав

Гарантия безопасной покупки

Уникальность текста выше 50%

Возможность снять с продажи

Не подходит эта работа?

Укажите тему работы или свой e-mail, мы отправим подборку похожих работ

содержание

Введение 3
1 Современное состояние процессов защиты WEB-приложений 6
1.1 Архитектура WEB-приложений и присущие им уязвимости 6
1.2 Внедрение шаблона на стороне клиента/сервера (CSTI/SSTI) 8
1.3 Распространенные векторы XSS-атак 12
1.4 Процесс сканирования уязвимостей 14
1.5 Описание методологии тестирования сканеров уязвимостей 19
2 Разработка и реализация проектных решений 24
2.1 Инструменты описания разрабатываемого WEB-сканера 24
2.2 Выбор технологий и инструментов разработки 27
2.3 Процесс разработки сканера уязвимости 30
2.4 Создание списка полезной нагрузки 37
2.5 Диаграмма компонентов и диаграмма деятельности 39
2.6 Описание итоговых рабочих компонентов 45
3 Оценка и обоснование эффективности проекта 51
3.1 Конфигурация WEB-сканера 51
3.2 Результаты тестирования сканера WEB-уязвимостей 53
3.3 Оценка работоспособности сканера и возможности для дальнейшего исследования 57
Заключение 64
Список использованных источников 66
Приложения 71

Весь текст будет доступен после покупки

Показать еще текст

ВВЕДЕНИЕ

Веб-приложения становятся неотъемлемой частью современного цифрового мира. Однако с ростом использования веб-приложений угрозы безопасности также становятся все более распространенными. Кибератаки могут использовать уязвимости в веб-приложениях для кражи конфиденциальной информации или получения контроля над системой. Чтобы предотвратить эти атаки, необходимо уделять должное внимание безопасности веб-приложений.
В соответствии со статистикой аналитического сайта «SECURELIST» от компании Kaspersky, уязвимости типа XSS и SSTI/CSTI, входят в топ 10 уязвимостей в WEB-приложениях за 2021-2023 года, уязвимости типа «Межсайтовое выполнение сценариев» были обнаружены в 61% всех проанализированных веб-приложений, больше половины всех обнаруженных уязвимостей XSS относилось к приложениям ИТ-компаний (55%), на втором месте по наличию данной уязвимости — приложения государственных учреждений (39%).
В рамках выпускной квалификационной работы, особое внимание уделяется инструментам защиты и оценки безопасности WEB-ресурсов и приложений, а именно сканерам Web-уязвимостей, так как, проведение теста на проникновение в систему довольно дорогостоящая услуга, которую не все предприятия могут себе позволить, поэтому выгодным решением для регулярного процесса оценки защищенности используемых в компании WEB-ресурсов, могут стать сканеры уязвимостей.

Весь текст будет доступен после покупки

Показать еще текст

отрывок из работы

1 Современное состояние процессов защиты WEB-приложений

1.1 Архитектура WEB-приложений и присущие им уязвимости

WEB-приложения являются важнейшим компонентом различных отраслей промышленности и услуг в современном Интернете. Однако с ростом зависимости от этих приложений количество сообщений об уязвимостях также значительно возросло. В то время как такие уязвимости, как SQL-инъекция, межсайтовый скриптинг (XSS) и переполнение буфера, были давними проблемами, такие варианты, как внедрение шаблонов на стороне клиента (CSTI), XSS на основе объектной модели документов (DOM) и подделка запросов на стороне сервера (SSRF), становятся все более распространенными и создают новые проблемы для безопасности веб-приложений.
Для устранения этих уязвимостей необходимы эффективные методы их обнаружения и предотвращения для обеспечения безопасности и надежности веб-систем. В настоящее время доступно множество методов и инструментов для обнаружения уязвимостей в веб-приложениях, включая ручные и автоматизированные подходы. Ручные методы, такие как тестирование на проникновение и проверка кода, требуют много времени и ресурсов, но они предоставляют подробную информацию о состоянии безопасности приложения. С другой стороны, автоматизированные методы, такие как проверка уязвимостей благодаря разного рода сканерам, являются более быстрыми и масштабируемыми, но им может не хватать точности и глубины ручного сканирования.

Весь текст будет доступен после покупки

Показать еще текст

Список литературы

1. Федеральный закон от 08.07.2006 г. N 149-ФЗ (ред. от 12.12.2023) «Об информации, информационных технологиях и защите информации» (с изм. и доп., вступ. в силу с 01.09.2024). - URL: https://docs.cntd.ru/document/901990051 (дата обращения 02.03.2024). - Текст: электронный.
2. Методический документ утвержден ФСТЭК России 17.05.2023 г. «Руководство по управлению уязвимостями программного обеспечения и программно-аппаратных средств в органе (организации)». - URL: https://fstec.ru/component/tags/tag/metodicheskij-dokument (дата обращения 10.03.2024). - Текст: электронный.
3. Agnes Talalaev. Website Hacking Statistics You Should Know in 2022-2023 [Электронный ресурс] // PatchStack / Режим доступа: / URL: https://patchstack.com/articles/website-hacking-statistics/ (Дата обращения 03.04.2024 г.).
4. AngularJS — Superheroic JavaScript MVW Framework [Электронный ресурс] // ANGULARJS / Режим доступа: / URL: https://angularjs.org/ (Дата обращения 13.04.2024 г.).
5. Ari Bajo. Web crawling with Python [Электронный ресурс] // ScrapingBEE / Режим доступа: / URL: https://www.scrapingbee.com/blog/crawling-python/ (Дата обращения 12.03.2024 г.).
6. Artur Avetisyan. Understanding Template Injection Vulnerabilities [Электронный ресурс] // paloalto / Режим доступа: / URL: https://www.paloaltonetworks.com/blog/prisma-cloud/template-injection-vulnerabilities/ (Дата обращения 07.03.2024 г.).
7. Full stack python. Template Engines [Электронный ресурс] // Python / Режим доступа: / URL: https://www.fullstackpython.com/template-engines.html (Дата обращения 11.03.2024 г.).
8. GORAN JEVTIC. 17 Best Vulnerability Assessment Scanning Tools [Электронный ресурс] // phoenixNAP / Режим доступа: / URL: https://phoenixnap.com/blog/vulnerability-assessment-scanning-tools (Дата обращения 04s.03.2024 г.).

Весь текст будет доступен после покупки

Показать еще текст

Купить и скачать работу

РАЗРАБОТКА СКАНЕРА УЯЗВИМОСТИ ДЛЯ ОБНАРУЖЕНИЯ УЯЗВИМОСТЕЙ TEMPLATE INJECTION, XSS И DOM-XSS

Почему студенты выбирают наш сервис?

Работаем круглосуточно

24 часа в сутки

7 дней в неделю

Гарантия

Возврат средств в случае проблем с купленной готовой работой

Мы лидеры

LeWork является лидером по количеству опубликованных материалов для студентов

не подошла эта работа?

В нашей базе 78761 курсовых работ – поможем найти подходящую

Ответы на часто задаваемые вопросы

Как оплатить заказ?

Чтобы оплатить заказ на сайте, необходимо сначала пополнить баланс на этой странице - https://lework.net/addbalance

На странице пополнения баланса у вас будет возможность выбрать способ оплаты - банковская карта, электронный кошелек или другой способ.

После пополнения баланса на сайте, необходимо перейти на страницу заказа и завершить покупку, нажав соответствующую кнопку.

Если у вас возникли проблемы при пополнении баланса на сайте или остались вопросы по оплате заказа, напишите нам на support@lework.net. Мы обязательно вам поможем!

Есть ли услуга безопасной покупки, и какой срок гарантии?

Да, покупка готовой работы на сайте происходит через "безопасную сделку". Покупатель и Продавец финансово защищены от недобросовестных пользователей. Гарантийный срок составляет 7 дней со дня покупки готовой работы. В течение этого времени покупатель имеет право подать жалобу на странице готовой работы, если купленная работа не соответствует описанию на сайте. Рассмотрение жалобы занимает от 3 до 5 рабочих дней.

Что означает возможность снять с продажи готовую работу ?

У покупателя есть возможность снять готовую работу с продажи на сайте. Например, если необходимо скрыть страницу с работой от третьих лиц на определенный срок. Тариф можно выбрать на странице готовой работы после покупки.

Как вернуть средства за некачественную работу?

Гарантийный срок составляет 7 дней со дня покупки готовой работы. В течение этого времени покупатель имеет право подать жалобу на странице готовой работы, если купленная работа не соответствует описанию на сайте. Рассмотрение жалобы занимает от 3 до 5 рабочих дней. Если администрация сайта принимает решение о возврате денежных средств, то покупатель получает уведомление в личном кабинете и на электронную почту о возврате. Средства можно потратить на покупку другой готовой работы или вывести с сайта на банковскую карту. Вывод средств можно оформить в личном кабинете, заполнив соответствущую форму.

Как связаться со службой поддержки, если возникли вопросы?

Мы с радостью ответим на ваши вопросы по электронной почте support@lework.net