XSS-атаки и методы противодействия им.

РЕФЕРАТ 6
Введение 8
Глава 1. Понятие атак с использованием межсайтового скриптинга 10
1.1. Определение атак типа XSS 10
1.2 Актуальность проблемы XSS-атак 21
1.3 Типология атак типа XSS 24
1.3.1 Reflected XSS (Отраженная XSS) 25
1.3.2 Сохраняемая XSS-атака (Stored XSS) 26
1.3.3 DOM-Based XSS (XSS на основе DOM) 28
1.3.4 Другие типы XSS атак 30
1.4 Основные способы защиты от xss-атак. 32
2. Методы применения XSS-атак на практике. 36
2.2. Полигон для помощи в понимании принципа действия xss-атак”Juice shop.” 46
2.3 Внешний вид и описание полигона OWASP Juice shop. 50
2.4 Представление DoJo от OWASP 52
3. Реализация защищенной от инъекций среды на базе телеграм-бота. 59
3.1 Представление Бота 59
3.2 Демонстрация защищенной среды 60
3.3.Логика изменения алгоритмов обработки команд приложения с учетом идентификации, аутентификации и уровней доступа. Аутентифицированные пользователи, активные пользователи, заблокированные пользователи 67
3.4.Триггеры системы защиты (блокировка, разблокировка, перевод в 74
начальное состояние) 74
Заключение 77
Список используемой литературы 82

Весь текст будет доступен после покупки

В наше время интернет и все его преимущества стали неотъемлемой частью жизни многих людей. Однако, помимо многочисленных плюсов, есть и некоторые проблемы, связанные с его использованием. Например, злоумышленники могут использовать различные способы для доступа к личной информации пользователей или для атак на компании и организации. Для более полного понимания ситуации, необходимо рассмотреть определение и типы сетевых атак.
Сетевая атака-целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств с использованием протоколов межсетевого взаимодействия.
Из определения следует, что сетевые атаки не только связаны с распространением так называемых компьютерных вирусов, но и с внедрением в исходный текст страницы браузера исполнительного кода, то есть осуществление инъекции вредного кода написанном на машинном языке.

Весь текст будет доступен после покупки

Глава 1. Понятие атак с использованием межсайтового скриптинга

1.1. Определение атак типа XSS

Межсайтовый скриптинг (XSS) - это сетевая атака, которая заключается в инъекции исполняемого кода на веб-страницу, просматриваемую другими посетителями сайта. Этот код выполняется на стороне клиента.
Уязвимость возникает из-за отсутствия адекватной фильтрации данных, вводимых пользователями в формы, которые затем вставляются на веб-страницы. Для облегчения понимания будет приведен наглядный пример. Для иллюстрации рассмотрим любую гостевую книгу, которая представляет собой веб-страницу, предназначенную для приема пользовательских данных и их отображения. В качестве аргумента предположим, что гостевая книга не выполняет никакой проверки или фильтрации вводимых данных, а просто отображает их. Именно так функционирует атака межсайтового скриптинга. Злоумышленник вставляет вредоносную запись в гостевую книгу, обходя меры безопасности, и внедряет свой код, который затем выполняется другими пользователями, взаимодействующими с сайтом. Разберемся более подробно.
Причины возникновения уязвимостей в сетях можно разделить на следующие категории:
Ниже перечислены потенциальные источники уязвимостей в поставляемом программном продукте:
- области программного обеспечения, подверженные атакам;
- несоблюдение технологий передачи и управления информацией;
- внедрение компонентов и программ, реализующих незаявленные функции и нарушающих нормальное функционирование сетей;
- невыполнение внедренными механизмами защиты сети заданных требований к процессу обеспечения информационной безопасности или навязывание непродуманного набора требований;
- использование отечественных и зарубежных информационных технологий, средств информатизации и связи, а также средств защиты информации и контроля эффективности, не сертифицированных в соответствии с требованиями безопасности.
Постоянный аудит сетей связи с целью выявления уязвимостей и возможных угроз обеспечивает определение «слабого звена», а уровень защищённости «слабого звена» определяет, в конечном счёте, уровень информационной безопасности сети в целом.
В контексте проектирования сложных распределенных информационных систем необходимо вести учет не только общих требований открытости, масштабируемости, переносимости, мобильности и защиты инвестиций, но и ряд специфических концептуальных требований, направленных на обеспечение безопасности функционирования системы и данных. К ним относятся гибкость архитектуры системы, которая должна допускать относительно простые, не фундаментальные структурные изменения, а также надежная защита данных от ошибок проектирования, уничтожения или потери информации, управление полномочиями пользователей, рабочей нагрузкой, данными и вычислительными ресурсами. Система допускает относительно простые, не принципиальные структурные изменения, развитие инфраструктуры и конфигурации используемых средств, наращивание функций и ресурсов информационной безопасности в соответствии с расширением сфер и задач ее применения.

Весь текст будет доступен после покупки

1. Основы информационной безопасности : учебник : рек. УМО в обл.
национальной безопасности / В.Ю. Рогозин и др. М.: ЮНИТА-ДАНА, 2017. - 287 с.
2. Нестеровский О.И. Основы информационной безопасности в ОВД [Электронный ресурс] : учебное пособие / О.И. Нестеровский. Воронеж :
Воронежский институт МВД России, 2015. 32 с.
- URL : https://library.vimvd.ru/MegaPro/Download/Resource.
3. Бабкин А.Н. Основы проектирования и технической эксплуатации защищенных телекоммуникационных систем ОВД : практикум / А. Н. Бабкин, А. Н. Глушков. - Воронеж : Воронежский институт МВД России, 2011. - 63 с.
4. Зайцев А. П. Технические средства и методы защиты информации: учебное пособие: рек. Мин. образ. и науки РФ / А. П. Зайцев, Р. В. Мещеряков, А. А.
Шелупанов ; под ред. А. П. Зайцева и А. А. Шелупанова. - 7-е изд. Москва :
Горячая линия - Телеком, 2014. - 442 с.: ил.
5. Основы управления информационной безопасностью. Учебное пособие для вузов. 2-е изд., испр. / А. П. Курило и др. - Москва : Горячая линия Телеком, 2014. 244 с.
6. Язов Ю. К. Защита информации в информационных системах от несанкционированного доступа / Ю. К. Язов, С. В. Соловьев. - Воронеж : Кварта, 2015. - 440 с.
7. Доктрина информационной безопасности Российской Федерации :
утверждена Указом Президента Российской Федерации 5 декабря 2016 года № 646
// СПС «Консультант плюс». URL: http://www.consultant.ru/
8. Об информации, информационных технологиях и о защите информации : Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 02.12.2019) (с изм. и доп., вступ. в силу с 13.12.2019) // СПС «Консультант плюс».
URL: http://www.consultant.ru/

Весь текст будет доступен после покупки