Уеб сигурност от страна на клиента и създаване на защитени уеб приложения. | Защитена на: 31/10/2017
Съдържанието на тази дипломна работа силно потвърждава еволюцията на механизмите за сигурност от страна на клиента. Предоставя широк поглед върху уеб сесиите, техните уязвимости, както и решения за подобряване на защитата им. В настоящата дипломна работа се анализира сигурността при уеб сесиите и се представят механизми за тяхното управление. Включени са проучвания на основните концепции и илюстрации на важни атаки, които могат да бъдат изпълнени от клиентска страна:
- Атаки чрез подслушване
- Атаки тип “човек-в-средата”
- Фалшифициране на заявки между сайтове
- Коригиране на потребителски
- Отвличане на сесия
- Прихващане на сесия
- Междусайтов скриптинг
- Социално насочени атаки
По-конкретно са представени модели на заплахи въз основа, на които са изброени различни видове мрежови атаки. Разгледаните модели на заплахи включват нападател през форум постове, уеб нападател, нападател чрез приложения, нападател на домейни, нападател на пътища, пасивен нападател и активен нападател. Анализа на всеки един от тях обхваща проблема и неговите корени, наличните техники за смекчаване на нападението, съвременни изследвания и сегашни практики за справяне с проблема.
Целта на дипломната работа е да се анализират, проектират, разработят, внедрят и тестват различни механизми за подсилване сигурността на уеб приложение на база на разгледаните атаки. Фокусът е насочен върху определяне средата на уеб приложение, разкриване на основните заплахи за сигурността му, демонстриране начини за предотвратяване, откриване и отстраняване на проблеми възникнали в процеса на работа.
Ключовите критерии за избор на тема на дипломната работа и реализирания проект включват повишаване сигурността на реална система („Puffin”) - изготвена като част от курса по WEB (воден от доц. д-р Милен Петров) във факултета по математика и информатика на Софийски университет „Св. Климент Охридски”. Основната задача на системата е да помага на уеб потребители при избора им на теми за реферат, предаване на рецензии, оценки и коментари върху работата на свои колеги.
Представен е анализ на проблеми свързани с уеб-базирани езици (HTML, CSS, JS), изводите, от който са използвани за отстраняване на неправилно въведен код, добавяне на допълнителни нива на защита на данни и подсилване сигурността на уеб приложението. Изградена е методология за планиране и проектиране на структурата на системата, в която е направена оценка на потребителския интерфейс и начина на валидиране на входните данни.
На база изградената структура на уеб приложението са представени потребителски и качествени изисквания към системата. Чрез реализация на проекта се цели анализиране на съществуващи заплахи от клиентска страна при използване на уеб приложение и поглед над технологиите, платформите и методологиите за разрешаване на проблеми свързани със сигурността. Създава се план за действие, целта, на който е да подсигури защита на съответна система и да спомогне за правилното използване от потребителите. Преструктурирането на архитектурата помага за повишаване на сигурността и изчистване на базови грешки допуснати при първоначалното създаване на проекта. В бъдеща реализация на системата Puffin се планува разширяване на уеб приложението, подобряване и внедряване на нови функционалности.
Допълнителните критерии за избор включват работа върху реален проект, полезен на обществото – помощ за работата на студентите и улесняване на техните задачи, помощ за ръководителя на програмата да извършва бързо, лесно и точно задачите си. Очакваните ползи допринасят и за бъдещо развитие на системата и евентуалното ѝ интегриране в други курсове.