Сравнительный анализ средств защиты Web-приложений и выработка рекомендаций по их использованию на предприятии

ВВЕДЕНИЕ 3
ГЛАВА 1. АРХИТЕКТУРА WEB-РЕСУРСОВ, ИХ ОСНОВНЫЕ УЯЗВИМОСТИ И МЕТОДЫ ТЕСТИРОВАНИЯ 4
1.1. Web-ресурс как объект защиты 4
1.2. Уязвимости web-ресурсов 7
1.3. Тестирование web-ресурса на наличие уязвимостей 13
1.4. Тестирование методом «белого ящика» 14
1.5. Тестирование методом «черного ящика» 16
ГЛАВА 2. КЛАССИФИКАЦИЯ И ВЫБОР ПРОГРАММНЫХ ПРОДУКТОВ ДЛЯ ПЕНТЕСТА 18
2.1. Классификация программных средств 18
2.2. Сетевые сканеры 19
2.3. Программы, направленные на внедрение sql-кода 22
2.4. Эксплойты 24
2.5. Сканеры брешей в web-скриптах 26
2.6. Универсальное программное обеспечение 26
2.7. Используемые программные продукты для тестирования на проникновение 27
ГЛАВА 3. ТЕСТИРОВАНИЕ WEB-РЕСУРСА basszapp.ru 34
3.1. Тестирование методом черного ящика 34
3.2. Сбор общей информации об атакуемой системе 35
3.3. Проверка web-ресурса на безопасность с помощью специализированных программных средств 39
3.4. Выводы по результатам проверки 43
ЗАКЛЮЧЕНИЕ 46
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 47

Весь текст будет доступен после покупки

В настоящее время каждая вторая компания имеет корпоративный web-ресурс. Наличие сайта не такая уж и редкость, но не многие web-разработчики задумываются над их безопасностью. Грамотный злоумышленник способен найти дыру в самом охраняемом и защищаемом web-ресурсе, но это не значит, что безопасностью можно пренебречь. На самом деле защите web-ресурсов необходимо уделять пристальное внимание и при разработке ставить эту проблему на первое место. Уязвимый сайт ставит авторитет компании под вопрос, а также грозит краху не только «web-миру», но и всему предприятию.
В перспективе атаки злоумышленника могут привести к потере важных данных, нежелательной рассылке спама, некорректному отображению некоторых элементов, либо к чему похуже – нарушить функционирование ресурса или полностью вывести его из строя. Чтобы этого не произошло, специалисты используют предварительные тесты на писк уязвимостей. Именно они помогают избежать неожиданных казусов в работе сайта.

Весь текст будет доступен после покупки

ГЛАВА 1. АРХИТЕКТУРА WEB-РЕСУРСОВ, ИХ ОСНОВНЫЕ УЯЗВИМОСТИ И МЕТОДЫ ТЕСТИРОВАНИЯ

1.1 Web-ресурс как объект защиты
Web-ресурс представляет собой пользовательскую программу, основная часть которой находится в удаленном доступе - сервере, а пользовательский интерфейс (UI – users interface) доступен пользователю в браузере и представлен в качестве web-страницы.
Информация в интернете, которая доступна для браузеров, хранится в своем большинстве на специальных программно-аппаратных комплексах. Подобные комплексы называются хостами или хостингами. Наименьший сегмент web-страницы – это web-сайт (website: web – паутина, сеть и site – место или часть в сети). Он представляет собой совокупность электронных файлов частного лица или организации в компьютерной сети, которые объединены одним адресом (доменным именем или ip-адресом).
Все сайты в совокупности составляют мировую «паутину», где коммуникация объединяет сегменты информации мирового сообщества в единое целое – базу данных планетарного масштаба. Для непосредственного доступа клиентов к сайтам на серверах был специально разработан протокол http.
Страницы сайтов – это набор текстовых файлов, которые размечены на языке разметки html. Эти файлы, после загрузки на компьютер пользователя, понимаются и обрабатываются браузером, а затем выводятся на средство отображения пользователя (монитор компьютера, экран смартфона, экран оргтехники). Язык разметки html позволяет проводить различные манипуляции с текстом, различать в нём функциональные элементы, создавать гипертекстовые ссылки, а так же вставлять в отображаемую страницу изображения, аудиофайлы и прочие мультимедийные элементы. Отображение страницы можно менять добавлением стилей на языке css. Подобные средства позволяют централизовать в определенном файле все элементы форматирования (размер и цвет заглавных букв второго уровня, размер и вид блока вставки и пр.) или сценариев на языке JavaScript, с помощью которого имеется возможность просматривать страницы с различными событиями или действиями.

Весь текст будет доступен после покупки

1. Бейзер, Б. В. Тестирование черного ящика/ Б.В. Бейзер. – 2-е изд., перераб. и доп. – С-Пб., 2023. – 318 с.
2. Петровский А. В. Эффективный хакинг для начинающих и не только/ А.В. Петровский. – 3-е изд. – М.: Майор, 2024. – 164 с.
3. Щеглов A. Ю. Защита компьютерной информации от несанкционированного доступа/ А. Ю. Щеглов. – C.-Пб., 2024. – 384 c.
4. Быкова А. А. Тот, кто владеет информацией..., или Персонал как слабый элемент системы безопасности компании/ А. А. Быкова. – М.: Кадровик, 2023. – С. 12-14.
5. Максимович Г. Ю. Современные информационные технологии хранения информации и организация доступа к ней / Г. Ю. Максимович. – М.: Секретарское дело., 2024. – С. 30-36.
6. Теренин А. А. Как построить модель типового нарушителя информационной безопасности / А. А. Теренин. – М.: Защита информ. Инсайд, 2025 – С. 18-24.
7. Шаньгин, В. Ф. Информационная безопасность компьютерных систем и сетей / В.Ф. Шаньгин. – М.: Форум, Инфра-М, 2022. – 416 c.
8. Запечников С. В. и др. Информационная безопасность открытых систем. В 2 томах. Том 1. Угрозы, уязвимости, атаки и подходы к защите/ С.В. Запечников и др. – М.: Горячая линия – Телеком, 2022. – 536 c.
9. Заперечников С. В. и др. Информационная безопасность открытых систем. В 2 томах. Том 2. Средства защиты в сетях / С.В. Запечников и др. – М.: Горячая линия – Телеком, 2023. – 560 c.
10. Мельников Д. А. Информационная безопасность открытых систем: учебник/ Д.А. Мельников. – М.: Флинта, 2023. – 448 c.
11. Шаньгин, В.Ф. Информационная безопасность и защита информации/ В.Ф. Шаньгин. – М.: ДМК, 2024. – 702 c.

Весь текст будет доступен после покупки