Transcript Презентація до роботи
Slide 1
Міністерство освіти і науки України
Мала академія наук України
Полтавське територіальне відділення МАН України
Кременчуцька філія МАН
Секція:
Інформатика та обчислювальна техніка
Підсекція:
Безпека інформаційних та телекомунікаційних систем
Автор:
Кукса Вячеслав Вікторович,
учень 11-Б класу,
Кременчуцької ЗОШ І-ІІІ ст.
№17 “Вибір” ім. М. Г. Неленя
Науковий керівник:
Лагута Світлана Миколаївна,
вчитель інформатики
Кременчуцької ЗОШ I-III ст.
№ 17 «Вибір» ім. М.Г. Неленя
Науковий консультант:
Лисенко Тетяна Іванівна,
Заслужений вчитель України,
викладач інформатики
Кременчуцького
педагогічного
училища ім. А.С. Макаренка
Slide 2
Реалізація захисту інформації у системі
керування змістом веб-сайту
Актуальність теми
В останні роки, з розвитком комерційної і підприємницької діяльності
збільшилося число спроб несанкціонованого доступу до конфіденційної
інформації, а проблеми захисту інформації виявилися в центрі уваги
багатьох вчених і спеціалістів із різноманітних країн. Оскільки основний
інформаційний обмін оснований на інформаційній технології, то
важливою умовою безпеки стає безпека в комп’ютерних мережах. Тому
захист інформації - важливе і першочергове завдання при проектуванні
веб-сайтів.
Об’єкт дослідження
Використання системи захисту інформації як засобу надійної безпеки вебсайту.
Предмет дослідження
Напрями забезпечення конфіденційності інформації у CMS.
Мета дослідження
Визначити різні підходи до забезпечення захисту інформації при побудові
веб-сайтів та розробити власну програму з урахуванням вироблених
критеріїв.
Slide 3
Завдання дослідження
Slide 4
Види загроз веб-сайтам
27%
9%
61%
3%
XSS
SQL-ін'єкції
Ін'єкція коду
Інші (тип невідомий)
–
вбудовування довільних
SQL-команд, у результаті
якого змінюється логіка
запиту до бази даних.
- один зі
методів злому веб-сайтів,
який полягає у виконанні
стороннього коду на
серверній стороні.
– будь яка можливість
впливу на віддаленого
користувача, яка
реалізується через
незахищений сайт
віддаленим зловмисником.
Slide 5
SQL-ін’єкція
– вбудовування довільних SQLкоманд у запит, результатом якого є зміннення
логіки запиту до бази даних.
…
$data=mysqli_query($link,”SELECT * FROM profiles WHERE id=”.$_GET[“id”]);
…
?>
SELECT * FROM profiles WHERE id=10
SELECT * FROM profiles WHERE id=10 OR UserName=“Administrator”
Slide 6
Ін’єкція коду
- один із методів злому веб-сайтів,
який полягає у виконанні стороннього коду на боці
сервера через вразливості серверних сценаріїв.
eval(),
exec(),
fopen(),
require_once(),
include_once(),
include(),
require().
Slide 7
XSS (Кросс сайтовий скриптинг)
– будь яка можливість впливу на
віддаленого користувача, яка реалізується
через незахищений сайт віддаленим
зловмисником.
XSS DOM
Класичний XSS
Persist XSS
У цій моделі вразливість сайту
полягає у тому, що не серверний
сценарій, а саме клієнтський
JavaScript вставляє в код HTML
сторінки дані, отримані в URL,
через об’єкти Document Object
Model (DOM).
Найбільш поширена модель
атак. Використовувана
вразливість полягає в тому, що
при недостатній фільтрації
вхідних параметрів серверним
сценарієм, тіло XSS-вектора
потрапляє до результуючого
HTML, CSS, або JavaScriptкоду безпосередньо у браузер
клієнта.
Фактично, ця модель атак
пов’язана з перманентним
розміщенням параметрів для
скрипта, які передаються від
хакера серверу, безпосередньо
в базі даних сервера й
подальшій їх видачі
відвідувачам сайту
(найчастіше це форуми, блоги і
т.п.).
Slide 8
Методи захисту інформації
Slide 9
Структурні складові систем захисту
інформації
– може бути використана для захисту
переданих даних від можливості проведення аналізу інтенсивності
потоків даних між користувачами;
– призначена для підтвердження того, що в
даний момент зв'язку користувач є дійсно тим користувачем, за якого він
себе видає;
– забезпечує доказ цілісності даних у процесі
їхньої передачі, тобто забезпечує захист переданих повідомлень від
випадкових і навмисних впливів, спрямованих на зміну переданих
повідомлень, затримку і знищення повідомлень;
– забезпечує захист від несанкціонованого
доступу до інформації, що утримується в віддалених банках даних, або від
несанкціонованого використання мережі;
– забезпечує доказ цілісності
повідомлення, прийнятого від відповідного джерела і знаходиться на
збереженні;
– забезпечує захист від спроб зловмисника порушити
зв'язок.
Slide 10
Стратегія захисту інформації
Cookie
Помилки вводу
GET
POST
Журнал
Перевірка
вхідних данних
Довжина вводу
БД
Хеши паролів
SQL-ін’єкція
Захист інформації
Автогенерація
паролів
Стійкі паролі
Небезпечні дії з
паролем
Прив’язка IP до
сесії
Незнайдені
сторінки
HTML
XSS
Типи перевірки
Користувачі
Перевірка
реферерів
Тип параметра
Фільтрація
спецсимволів
Фільтрація HEX
Slide 11
Розробка системи захисту
інформації
Розроблена у результаті виконання практичної частини дослідження
система інтегрована з системою управління змістом веб-сайту
MyCMS, яка була результатом минулорічного дослідження.
Slide 12
Основні функції
розробленої системи безпеки
Slide 13
Висновки
Міністерство освіти і науки України
Мала академія наук України
Полтавське територіальне відділення МАН України
Кременчуцька філія МАН
Секція:
Інформатика та обчислювальна техніка
Підсекція:
Безпека інформаційних та телекомунікаційних систем
Автор:
Кукса Вячеслав Вікторович,
учень 11-Б класу,
Кременчуцької ЗОШ І-ІІІ ст.
№17 “Вибір” ім. М. Г. Неленя
Науковий керівник:
Лагута Світлана Миколаївна,
вчитель інформатики
Кременчуцької ЗОШ I-III ст.
№ 17 «Вибір» ім. М.Г. Неленя
Науковий консультант:
Лисенко Тетяна Іванівна,
Заслужений вчитель України,
викладач інформатики
Кременчуцького
педагогічного
училища ім. А.С. Макаренка
Slide 2
Реалізація захисту інформації у системі
керування змістом веб-сайту
Актуальність теми
В останні роки, з розвитком комерційної і підприємницької діяльності
збільшилося число спроб несанкціонованого доступу до конфіденційної
інформації, а проблеми захисту інформації виявилися в центрі уваги
багатьох вчених і спеціалістів із різноманітних країн. Оскільки основний
інформаційний обмін оснований на інформаційній технології, то
важливою умовою безпеки стає безпека в комп’ютерних мережах. Тому
захист інформації - важливе і першочергове завдання при проектуванні
веб-сайтів.
Об’єкт дослідження
Використання системи захисту інформації як засобу надійної безпеки вебсайту.
Предмет дослідження
Напрями забезпечення конфіденційності інформації у CMS.
Мета дослідження
Визначити різні підходи до забезпечення захисту інформації при побудові
веб-сайтів та розробити власну програму з урахуванням вироблених
критеріїв.
Slide 3
Завдання дослідження
Slide 4
Види загроз веб-сайтам
27%
9%
61%
3%
XSS
SQL-ін'єкції
Ін'єкція коду
Інші (тип невідомий)
–
вбудовування довільних
SQL-команд, у результаті
якого змінюється логіка
запиту до бази даних.
- один зі
методів злому веб-сайтів,
який полягає у виконанні
стороннього коду на
серверній стороні.
– будь яка можливість
впливу на віддаленого
користувача, яка
реалізується через
незахищений сайт
віддаленим зловмисником.
Slide 5
SQL-ін’єкція
– вбудовування довільних SQLкоманд у запит, результатом якого є зміннення
логіки запиту до бази даних.
…
$data=mysqli_query($link,”SELECT * FROM profiles WHERE id=”.$_GET[“id”]);
…
?>
SELECT * FROM profiles WHERE id=10
SELECT * FROM profiles WHERE id=10 OR UserName=“Administrator”
Slide 6
Ін’єкція коду
- один із методів злому веб-сайтів,
який полягає у виконанні стороннього коду на боці
сервера через вразливості серверних сценаріїв.
eval(),
exec(),
fopen(),
require_once(),
include_once(),
include(),
require().
Slide 7
XSS (Кросс сайтовий скриптинг)
– будь яка можливість впливу на
віддаленого користувача, яка реалізується
через незахищений сайт віддаленим
зловмисником.
XSS DOM
Класичний XSS
Persist XSS
У цій моделі вразливість сайту
полягає у тому, що не серверний
сценарій, а саме клієнтський
JavaScript вставляє в код HTML
сторінки дані, отримані в URL,
через об’єкти Document Object
Model (DOM).
Найбільш поширена модель
атак. Використовувана
вразливість полягає в тому, що
при недостатній фільтрації
вхідних параметрів серверним
сценарієм, тіло XSS-вектора
потрапляє до результуючого
HTML, CSS, або JavaScriptкоду безпосередньо у браузер
клієнта.
Фактично, ця модель атак
пов’язана з перманентним
розміщенням параметрів для
скрипта, які передаються від
хакера серверу, безпосередньо
в базі даних сервера й
подальшій їх видачі
відвідувачам сайту
(найчастіше це форуми, блоги і
т.п.).
Slide 8
Методи захисту інформації
Slide 9
Структурні складові систем захисту
інформації
– може бути використана для захисту
переданих даних від можливості проведення аналізу інтенсивності
потоків даних між користувачами;
– призначена для підтвердження того, що в
даний момент зв'язку користувач є дійсно тим користувачем, за якого він
себе видає;
– забезпечує доказ цілісності даних у процесі
їхньої передачі, тобто забезпечує захист переданих повідомлень від
випадкових і навмисних впливів, спрямованих на зміну переданих
повідомлень, затримку і знищення повідомлень;
– забезпечує захист від несанкціонованого
доступу до інформації, що утримується в віддалених банках даних, або від
несанкціонованого використання мережі;
– забезпечує доказ цілісності
повідомлення, прийнятого від відповідного джерела і знаходиться на
збереженні;
– забезпечує захист від спроб зловмисника порушити
зв'язок.
Slide 10
Стратегія захисту інформації
Cookie
Помилки вводу
GET
POST
Журнал
Перевірка
вхідних данних
Довжина вводу
БД
Хеши паролів
SQL-ін’єкція
Захист інформації
Автогенерація
паролів
Стійкі паролі
Небезпечні дії з
паролем
Прив’язка IP до
сесії
Незнайдені
сторінки
HTML
XSS
Типи перевірки
Користувачі
Перевірка
реферерів
Тип параметра
Фільтрація
спецсимволів
Фільтрація HEX
Slide 11
Розробка системи захисту
інформації
Розроблена у результаті виконання практичної частини дослідження
система інтегрована з системою управління змістом веб-сайту
MyCMS, яка була результатом минулорічного дослідження.
Slide 12
Основні функції
розробленої системи безпеки
Slide 13
Висновки