Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Дипломный проект

No description
by

Nikita Medvedev

on 14 July 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Дипломный проект

Разработка обучающего комплекса для изучения типовых уязвимостей web-приложений
Цель
Ущерб от уязвимостей в веб-приложениях
Задачи
Top-10 уязвимостей
OWASP Top 10
— это ежегодно обновляемый список 10 уязвимостей, на которые необходимо обращать внимание как разработчикам, так и специалистам по безопасности.
Mutillidae
OWASP Webgoat
Damn Vulnerable Web App
xss-game.appspot.com
Средства разработки
Веб-сервер-
Tomcat
Разработка архитектуры приложения
Актуальность
Цели и задачи
Top-10 уязвимостей
Заключение
Изучение XSS
Реализация атаки SQL-injection
Существующие системы
Реализация
Структура папок проекта
Кодирование
-Генерации каркаса проекта с помощью сборщика проектов Maven.
Завершающий этап разработки
Требования к разрабатываемой системе
+ Наличие русского языка
+ Поддержка всех уязвимостей из Top-10
+ Наличие четких заданий с индикацией выполнения
+ Адаптированность под начинающего специалиста
+ Локальный режим работы
+ Возможность работы через интернет
+ Портативность
+ "Быстрый запуск"
Обеспечение безопасности системы
Экономическая часть
Версии для учебных заведений:

Учебная
”. Теория и отдельные практические задачи по уязвимостям.
Бесплатно
.
Экономическое обоснование
Москва 2014
В период распродаж по причине атак на онлайн магазины ущерб достигает
500 000 долларов за час простоя
онлайн сервиса.
Все больше компаний предоставляет свои услуги в интернете. Для этого требуется разрабатывать специальные веб приложения, но наличие уязвимостей в этих приложениях может привести к серьезным финансовым потерям.
Актуальность
Трудоемкость получения
актуальных

знаний
.
Отсутствие
единой среды
обучения ИБ.
Появление
угроз

новых типов.
Мало времени
выделяется на практические занятия.
Основные источники информации
на английском языке.
Собрать информацию
об основных видах уязвимостей
в одном месте.
Изложить информацию о веб-безопасности
на русском языке.
Объединить
практическую
и теоретическую часть.
Open Web Application Security Project
- Только на английском
- Необходимость разворачивания веб-сервера
- Только английский язык
- Нет четко поставленного задания, которое нужно пройти, а есть просто набор скриптов со стандартными уязвимостями
- Нет четко поставленного задания, которое нужно пройти, а есть просто набор скриптов со стандартными уязвимостями
- Только на английском
- Необходимость разворачивания веб-сервера
- Посвящен только одной уязвимости - XSS
- Только английский язык
Язык программирования-
Java
СУБД -
SQLite
IDE-
Intellij IDEA
Сборщик проекта -
Maven
-Java-классы относящиеся к модели находятся в папке “model”
-классы-контроллеры - в папке “.../web”
-файлы "View", находятся в папке “./main/webapp”.
-Оформление веб-страницы.
-Практические занятия.
-Оформление уроков с помощью HTML + CSS.
-Система регистрации и авторизации.
-Система безопасности, схема хранения паролей в БД.
-Тестирование и отладка
-Документирование
-Составление руководства по запуску
-Составление руководства по использованию
-Подготовка системы к выпуску
Использование
двух разделенных баз данных
Исключение
физического доступа к БД
и тестовой системе через браузер
Использование безопасного
SHA-256 хеша
от паролей
Добавление
"соли"
для защиты от "радужных таблиц"
Экранирование спецсимволов
в системе аутентификации и регистрации
Проведение
аудита
системы
безопасности
- Высокий уровень требуемых начальных знаний
- Отсутствие ссылок на внешние источники с дополнительной информацией
- Отсутствие ссылок на источники с дополнительной информацией
- Высокий уровень требуемых начальных знаний
- Высокий уровень требуемых начальных знаний
Точка безубыточности будет достигнута через 3 месяца в случае продажи 5 базовых и 3 расширенных версий каждый месяц
Версии для компаний:

Минимальная
”. Теория по уязвимостям.
Бесплатно.

Базовая
”. Теория, базовый модуль практических задач и панель администратора со статистикой.
6000р.

Расширенная
”. Теория, расширенный модуль практических задач и панель администратора со статистикой.
10000р.
Заключение
- Информация об уязвимостях собрана
в одном месте
- Вся информация изложена
на русском языке
- Теория и практика
объединены
в одной теме
Дальнейшее развитие проекта
- Дополненение
новыми примерами
Разработана система практического обучения безопасности web-приложений на русском языке.
Решены следующие задачи:
Безопасность системы
- Добавление
панели администратора
- Добавление
модуля статистики
- Возможность
добавления уроков
самостоятельно
- Добавление
английского
языка
Выполнил:
студент 5 курса
Медведев Н. А.

Научный руководитель:
Кандидат технических наук,
доцент, Пуцко Н. Н.

Дипломный проект
Разработать систему практического обучения безопасности web-приложений.
Проанализировать существующие решения
- Были
проанализированы
существующие решения
1

2

3

4

5

- проект обеспечения безопасности веб-приложений.
6

7
8

9

10

11

12

13

14

15

16

17

18

19

20

21
Full transcript