Автор работы: Пользователь скрыл имя, 12 Мая 2015 в 03:05, курсовая работа
На перший погляд здається, що ці загрози за принципом роботи дуже сильно відрізняються один від одного. Але насправді це не зовсім так. Виявляється, багато вірусів, особливо інтернет-черв'яки, використовують для розповсюдження уразливості в програмному забезпеченні. Так і хакери теж воліють застосовувати атаки, спрямовані на відомі «дірки» в ПЗ. І в цьому немає абсолютно нічого дивного. Використовуючи уразливості, і ті, і інші одержують досить легкий доступ до віддаленого комп'ютера навіть у тому випадку, якщо останній добре захищений.
ВСТУП 4
1 АНАЛІЗ ВРАЗЛИВОСТІ ВЕБ-СЕРВЕРІВ 5
1.1 Вразливості програмного забезпечення серверів 5
1.2 Вразливості конфігурації 6
1.3 Вразливості програмного забезпечення користувачів 6
2 КЛАСИФІКАЦІЯ АТАК НА WEB-САЙТИ 8
2.1 Атаки на автентифікацію (Authentication) 8
2.2 Атаки на авторизацію (Authorization) 11
2.3 Атаки на клієнтів (Client-side Attacks) 13
2.4 Атаки на виконання коду (Command Execution) 15
2.5 Розголошення інформації (Information Disclosure) 18
2.6 Логічні атаки (LogicalAttacks) 22
3 СТАТИСТИКА ВРАЗЛИВОСТЕЙ WEB-ДОДАТКІВ 25
3.1 Класи врзаливостей 25
3.2 Галузі тестування 26
3.3 Статистика вразливостей 27
ВИСНОВКИ 38
ПЕРЕЛІК ВИКОРИСТАНИХ ДЖЕРЕЛ 39
№ |
Формат |
Позначення |
Найменування |
Кіл. арк. |
№ екз. |
Примітка |
1 |
А4 |
08-20.ЗПЗ.015.21.121 ПЗ |
Дослідження |
39 |
||
вразливостей |
||||||
web-ресурсів |
||||||
Пояснювальна записка |
||||||
2 |
А4 |
08-20.ЗПЗ.015.21.121 ТЗ |
Дослідження |
2 |
||
вразливостей |
||||||
web-ресурсів |
||||||
Технічне завдання |
||||||
3 |
А4 |
08-20.ЗПЗ.015.21.121 А8 |
Дослідження |
1 |
||
вразливостей |
||||||
web-ресурсів |
||||||
Класифікація |
||||||
вразливостей |
||||||
web-серверів |
||||||
4 |
А4 |
08-20.ЗПЗ.015.21.121 А8 |
Дослідження |
1 |
||
вразливостей |
||||||
web-ресурсів |
||||||
Класифікація атак |
||||||
web-сайти |
||||||
5 |
А4 |
08-20.ЗПЗ.015.21.121 А8 |
Дослідження |
1 |
||
вразливостей |
||||||
web-ресурсів |
||||||
Візуальне представлення |
||||||
статистичних даних |
||||||
6 |
А4 |
08-20.ЗПЗ.015.21.121 А8 |
Дослідження |
1 |
||
вразливостей |
||||||
web-ресурсів |
||||||
Статистика |
||||||
вразливостей |
||||||
Web-додатків |
||||||
(узагальнені дані) |
||||||
№ |
Формат |
Позначення |
Найменування |
Кіл. арк. |
№ екз. |
Примітка |
1 |
08-20.ПБД.014.09.119 ПЗ |
Пояснювальна записка |
30 |
|||
2 |
08-20.ПБД.014.09.119 ТЗ |
Технічне завдання |
4 |
|||
3 |
08-20.ПБД.014.09.119 А8 |
Схема даних |
1 |
|||
4 |
08-20.ПБД.014.09.119 А1 |
Схема роботи системи |
2 |
|||
№ |
Формат |
Позначення |
Найменування |
Кіл. арк. |
№ екз. |
Примітка |
1 |
08-20.ПБД.014.09.119 ПЗ |
Пояснювальна записка |
30 |
|||
2 |
08-20.ПБД.014.09.119 ТЗ |
Технічне завдання |
4 |
|||
3 |
08-20.ПБД.014.09.119 А8 |
Схема даних |
1 |
|||
4 |
08-20.ПБД.014.09.119 А1 |
Схема роботи системи |
2 |
|||
Вінницький національний технічний університет
Інститут інформаційних технологій та комп’ютерної інженерії
ЗАТВЕРДЖУЮ
Зав. кафедри ЗІ, д. т. н., проф.
___________В. А. Лужецький
ІНДИВІДУАЛЬНЕ ЗАВДАННЯ
на курсовий проект з дисципліни
”Захист програмного забезпечення”
студенту групи 1БС-12 Ратнікову Н. О.
Тема: «Дослідження вразливостей web-ресурсів»
Вхідні дані: об’єкт дослідження - інтернет-ресурси; спосіб дослідження – статистичні методі; операційне середовище - ОC сімейств Linux та Windows.
Вихідні дані:
Короткий зміст частин проекту
1. Текстова (пояснювальна записка):
Вступ. 1.Дослідження вразливостей web-ресурсів. 2. Дослідження методів захисту web-ресурсів. 3. Статистична обробка результатів досліджень. Висновки. Перелік використаних джерел. Додатки.
2. Графічна:
Класифікація вразливостей web-ресурсів. Схеми здійснення атак на web-ресурси. Класифікація методів протидії атакам на web-ресурси. Схеми захисту компонентів web-сторінок. Результати статистичних досліджень (графіки, діаграми тощо).
АНОТАЦІЯ
УДК 007.045
Ратніков Н.О. Дослідження вразливостей web-ресурсів. Курсовий проект. / Ратніков Назарій Олеговіч– Вінниця: ВНТУ, 2015 – 39 с.
Українською мовою. Рисунків – 16.Таблиц – 5.Бібліографій-8.
У курсовому проекті дослідження вразливостей web-ресурсів та виконано створення схем здійснення атак на web-ресурси, класифікація методів протидії атакам на web-ресурси, схеми захисту компонентів web-сторінок. Результати статистичних досліджень представлені у вигляді графіки, діаграми тощо.
ABSTRACT
NO Ratnikov Research vulnerabilities web-resources. Course project. / Ratnikov Nazar Olehovich- Vinnitsa: VNTU, 2015 - 39 p.
Ukrainian language. Figures - 16.Tablyts - 5.Bibliohrafiy-8.
In the course project research vulnerabilities of web-resources and creating schemes executed the attack on web-resources classification methods to counteract attacks on web-resources, circuit protection components of web-pages. The results of statistical studies presented in the form of graphs, charts and more.
ЗМІСТ
Ні для кого не секрет, що веб-сервери постійно піддаються безлічі самих різноманітних небезпек. Причому найсерйознішу загрозу становлять для них хакери і віруси. Перші можуть отримати доступ до конфіденційної інформації, розміщеної на сервері, зламати сайти і підмінити їх вміст, а також вивести з ладу сервер за допомогою розподіленої атаки (DDoS-атака)[1]. Віруси ж, заражаючи веб-сервери, перетворюють їх самих у розсадник інфекції. Крім того, вони істотно сповільнюють його роботу, а також займають інтернет-канал.
На перший погляд здається, що ці загрози за принципом роботи дуже сильно відрізняються один від одного. Але насправді це не зовсім так. Виявляється, багато вірусів, особливо інтернет-черв'яки, використовують для розповсюдження уразливості в програмному забезпеченні. Так і хакери теж воліють застосовувати атаки, спрямовані на відомі «дірки» в ПЗ. І в цьому немає абсолютно нічого дивного. Використовуючи уразливості, і ті, і інші одержують досить легкий доступ до віддаленого комп'ютера навіть у тому випадку, якщо останній добре захищений. Практично в будь-якій програмі є вразливості. І чим її вихідний код більше за обсягом, тим більше в ній можна знайти «дірок».
Наявність вразливостей пояснюється дуже легко. Людина - не машина, вона може помилятися. Існує навіть спеціальна норма програмування, в якій зазначено, скільки помилок може допустити фахівець при написанні певного числа рядків коду. Крім того, не можна забувати, що велике програмне забезпечення (ПЗ) пише не одна людина, а ціла група [2]. І досить часто помилки виникають при компонуванні модулів, створених різними програмістами.
Метою курсового проекту є спроба створити класифікацію, що представляє собою спільну спробу зібрати воєдино загрози безпеки Web-серверів.
Це дасть можливість розробникам додатків, фахівцям в області безпеки, виробникам програмних продуктів і аудиторам використовувати єдину мову для взаємодії.
Коли мова заходить про уразливість веб-серверів, то переважна більшість людей відразу ж згадують «дірки» в їх програмному забезпеченні. Це відноситься до самих програмам-серверів, таким як Apache, Microsoft Internet Information Server і т. д.[3] І не дивно, - це програмне забезпечення досить об'ємне і складне, так що «дірки» в ньому обов'язково є. Крім того, не можна забувати, що сучасний веб-сервер неможливо уявити собі без багатьох додаткових функцій, наприклад без підтримки мов програмування типу Perl, PHP і т. д., а також без систем управління базами даних. Все це стає можливим завдяки установці на веб-сервер додаткового програмного забезпечення. І все воно теж може утримувати свої вразливості [4]. Сьогодні на сайтах, присвячених інформаційній безпеці, постійно з'являються повідомлення про виявлення нових вразливостей в програмному забезпеченні веб- серверів.