БЕЗПЕКА ВЕБ-ДОДАТКІВ ТА ХАКЕРСЬКІ АТАКИ
DOI:
https://doi.org/10.35546/kntu2078-4481.2023.3.11Ключові слова:
веб-додаток, хакерська атака, SQL injection, Cross-site scripting, Cross-site request forgery, Server-side request forgery, файлова атакаАнотація
Питання безпеки веб-додатків та захисту від хакерські атаки є дуже важливою в сучасному світі, оскільки зростає кількість веб-додатків, які містять вразливості та можуть стати об'єктом хакерських атак. Необхідно приділяти достатню увагу заходам безпеки, щоб захистити дані користувачів від небажаного доступу та зловмисного використання. У рамках даної статті було розглянуто основні види хакерських атак на веб-додатки, такі як SQL injection (SQLi), Cross-site scripting (XSS), Cross-site request forgery (CSRF), Server-side request forgery (SSRF) та файлові атаки, а також наведені приклади заходів захисту від кожного типу атак. З метою забезпечення безпеки веб-додатків необхідно дотримуватись принципів безпеки, використовувати надійні паролі, оновлювати програмне забезпечення, вести моніторинг веб-додатків та регулярно проводити аудит безпеки. В статті проведено огляд, систематизація і узагальнення публікацій з питань принципів безпеки веб-додатків та найбільш загрозливих хакерських атак. Наведено сучасні методики та підходи до моделювання загроз, які допомагають забезпечити безпеку веб-додатків. Розгдянуті наступні методики моделювання: Threat Modeling, Security Testing, Risk Assessment, Penetration Testing, Security Audits, STRIDE, DREAD, VAST, PASTA, Trike, PTA (Penetration Testing and Assessment). На основі методик моделювання загроз запропоновано оновлені і вдосконалені основні принципи безпеки веб-додатків. Метою даного дослідження є визначення основних принципів безпеки веб-додатків і виявлення найбільш поширених вразливостей, що допускають хакерські атаки, визначення засобів захисту від різних типів хакерських атак на веб-додатки. Основні результати дослідження. Здійснено уточнення основних принципів безпеки веб-додатків, запропоновані засоби захисту від різних типів хакерських атак на веб-додатки. Наукова новизна. Розроблено дієву методичну систему захисту від найбільш загрозливих хакерських атак.
Посилання
McGraw, G. Software security: Building security in. Addison-Wesley Professional, 1st edition, 2006. 396 p.
McGraw, G. Software security: Building security in. Addison-Wesley Professional, 2nd edition 2018. 528 p.
John Viega, Gary R. McGraw. Building Secure Software. Addison-Wesley Professional. 2002. 528 p.
Michael Howard, David LeBlanc. Writing secure code (Vol. 19). Microsoft Press, 2002. 608 p.
Michael Howard, David LeBlanc & John Viega. 19 Deadly Sins of Software Development. New York, NY: McGraw-Hill, 2005. 348 p.
Stuttard, D., & Pinto, M. The web application hacker's handbook: Finding and exploiting security flaws. John Wiley & Sons, 2016. 912 p.
Shostack, A. Threat modeling: designing for security. John Wiley & Sons, 2014. 624 p.
Easttom, C. Computer security fundamentals (3rd ed.). Pearson, 2016. 448 p.
Mark Dowd, John McDonald, & Justin Schuh. The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities. Addison-Wesley Professional, 2006. 1200 p.
Eric Byres. Threat Modeling: Uncover Security Design Flaws Using the STRIDE Approach. Addison-Wesley Professional, 2014. 232 p.
Douglas Craig. Security Web Applications. O'Reilly Media, 2007. 296 p.
Bass, T., Clements, P., & Kazman, R. Software architecture in practice (3rd ed.). Addison-Wesley Professional, 2015. 624 p.
Felt, A. P., Finifter, M., Chin, E., Hanna, S., & Wagner, D. A survey of web security research. IEEE Transactions on Information Forensics and Security, 6(3), 2011. p. 1-17. DOI: 10.1109/TIFS.2011.2118713
Ristic, I. Bulletproof SSL and TLS: Understanding and deploying SSL/TLS and PKI to secure servers and web applications. Feisty Duck, 2013. 400 p.
Stamper, R. Information security: principles and practice. John Wiley & Sons, 2005. 488 p.
Mitchell, R. Web penetration testing with kali linux: Discover the power of Kali Linux, one of the most popular tools for penetration testing, using real-world scenarios. Packt Publishing Ltd., 2019. 488 p.
Westrum, E. F. Secure software design. Auerbach Publications, 2016. 318 p.
Florêncio, D., Herley, C., & van Oorschot, P. C. Passwords and the evolution of imperfect authentication. Communications of the ACM, 57(9), 2014. p. 78-87. DOI: 10.1145/2643132.2643136
Matt Bishop. Computer security: art and science. Addison-Wesley Professional, 2003. 1132 p.
