Система защиты данных в приложениях

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ 7

ГЛАВА 1. СТРОЕНИЕ ВЕБ-ПРИЛОЖЕНИЙ И ВИДЫСОВРЕМЕННЫХ АТАК 8

1.1 Веб-приложения 8

1.1.1 Структура Веб-приложения 8

1.1.2 Характеристики Веб-ресурсов 9

1.2 Современные виды атак и меры их предотвращения 10

1.2.1 Методы белого ящика 12

1.2.2 Методы черного ящика 13

1.2.3 SQL-инъекции 14

1.2.4 XSS атака 17

1.2.5 Атака встроенных в SVG 20

1.2.6 Загрязнение HTTP параметров 22

1.2.7 XPath инъекции 23

1.2.8 DOS-атаки 25

1.2.9 Атака на внешние сущности XML 27

ГЛАВА 2. СОВРЕМЕННЫЕ СПОСОБЫ ЗАЩИТЫ ОТ АТАК НА ВЕБ-ПРИЛОЖЕНИЯ 30

2.1 Классификация защиты веб-приложений 30

2.1.1 Решения на основе статистики 31

2.1.2 Решения на основе политик безопасности 34

2.1.3 Решения, основанные на намерениях 34

2.1.4 Анализ входов 35

2.1.5 Анализ приложения 36

2.1.6 Анализ выходов 37

2.2 Общая система оценки уязвимости 38

2.2.1 Базовые показатели оценки уязвимостей 39

2.2.2 Базовая метрика оценки уязвимостей 40

2.2.3 Система оценки серьезности уязвимости 41

ГЛАВА 3 РЕАЛИЗАЦИЯ ВЕБ-ПРИЛОЖЕНИЯ И УСТРАНЕНИЕ УЯЗВИМОСТИ SQL-ИНЪЕКЦИЯ 43

3.1 Описание задачи и метод ее решения 43

3.1.1 Структура и метод защиты веб приложения 43

3.1.2 Выбор решений для реализации задачи 44

3.2 Реализация веб-приложения 44

3.2.1 Реализация JavaScript сервера 44

3.2.2 Реализация верстки веб-приложения 46

3.3 Тестирование работы веб-приложения 47

ЗАКЛЮЧЕНИЕ 50

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 52

ПРИМЕЧАНИЕ А 53

ПРИМЕЧАНИЕ Б 54

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Никульчев Е.В., Cloud of Science. Том 7 №3. [электронный ресурс]. – URL: http://cloudofscience.ru (дата обращения 14.12.2022).
2. Низамутдинов М.Ф., Тактика защиты и нападения на web-приложения. М.: «bgy», 2018, 254 с. 
3. Ed Murphy, University Information Technology Services, OSCR The University of Arizona, 2008, 52 с.
4. Флэнаган Дэвид, JavaScript. Подробное руководство. - 5-e изд. - М.: «Символ-Плюс», 2012, 982 с.
5. Форристал Д., Защита от хакеров Web-приложений. М.: «Тетру», 2001 
6. Хоффман Эндрю, Безопасность веб-приложений. Разведка, защита, нападение, М.: «Питер», 2021, 336 с.
7. Влад Мержевич, Htmlbook. [электронный ресурс]. – http://htmlbook.ru/ (дата обращения 13.12.2022).
8.  Ховард М., Лебланк Д., Защищенный код. / Пер. с англ. – М.:«Русская редакция», 2003. 255 с.
9. Kevin Mitnick. The Art of Invisibility. International Journal of Computer Science and Information Technology & Security (IJCSITS), 2017, 320 с.
10. Dafydd Stuttard. The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws, М.: « Wiley», 2011, 245 с.
11. Эрик Фримен, Элизабет Робсон, Изучаем программирование на JavaScript, М.: «Питер», 2014, 6335 с.
12. Крокфорд Д., Как устроен JavaScrip

Этот метод представляется эффективным и потенциально может быть реализован на уровне спецификации HTML или в самом браузере. Например, спецификация W3C HTML5 в настоящее время запрещает браузерам автоматически выполнять содержимое интерактивного SVG контента. Одним из решений может быть ограничение автоматического выполнения браузерами интерактивного контента.
Может быть полезно ограничить автоматическое выполнение интерактивного контента для защиты от XSS-атак, однако разнообразие доступных браузеров и необходимость обеспечения совместимости затрудняют реализацию таких ограничений на практике.
Даже если эти ограничения будут широко приняты, злоумышленники все равно потенциально могут использовать тактику социальной инженерии, чтобы обманом заставить пользователей вручную разрешить выполнение заблокированного интерактивного контента.
1.2.6 Загрязнение HTTP параметровДанные средства защиты пытаются обнаружить или обойти определенные типы атак, которые используют п