Другие статьи

Цель нашей работы - изучение аминокислотного и минерального состава травы чертополоха поникшего
2010

Слово «этика» произошло от греческого «ethos», что в переводе означает обычай, нрав. Нравы и обычаи наших предков и составляли их нравственность, общепринятые нормы поведения.
2010

Артериальная гипертензия (АГ) является важнейшей медико-социальной проблемой. У 30% взрослого населения развитых стран мира определяется повышенный уровень артериального давления (АД) и у 12-15 % - наблюдается стойкая артериальная гипертензия
2010

Целью нашего исследования явилось определение эффективности применения препарата «Гинолакт» для лечения ВД у беременных.
2010

Целью нашего исследования явилось изучение эффективности и безопасности препарата лазолван 30мг у амбулаторных больных с ХОБЛ.
2010

Деформирующий остеоартроз (ДОА) в настоящее время является наиболее распространенным дегенеративно-дистрофическим заболеванием суставов, которым страдают не менее 20% населения земного шара.
2010

Целью работы явилась оценка анальгетической эффективности препарата Кетанов (кеторолак трометамин), у хирургических больных в послеоперационном периоде и возможности уменьшения использования наркотических анальгетиков.
2010

Для более объективного подтверждения мембранно-стабилизирующего влияния карбамезапина и ламиктала нами оценивались перекисная и механическая стойкости эритроцитов у больных эпилепсией
2010

Нами было проведено клинико-нейропсихологическое обследование 250 больных с ХИСФ (работающих в фосфорном производстве Каратау-Жамбылской биогеохимической провинции)
2010


C использованием разработанных алгоритмов и моделей был произведен анализ ситуации в системе здравоохранения биогеохимической провинции. Рассчитаны интегрированные показатели здоровья
2010

Специфические особенности Каратау-Жамбылской биогеохимической провинции связаны с производством фосфорных минеральных удобрений.
2010

Технология тестирования уязвимостей web – приложений

Аннотация. В данной статье рассмотрены проблемы с применением современных технологий поиска ошибок в WEB-приложениях. Исследована технология Фаззинг для поиска ошибок и уязвимостей в программном обеспечении WEB-приложений.

Введение. WEB-приложения – это программные средства, предназначенные для автоматизированного выполнения действий на WEB-серверах.

WEB-сервер – это сервер, который принимает HTTP запросы от пользователей и выдает им ответы в виде HTML документов, страниц или сайтов.

Фреймворк – это программные продукты, упрощающие создание и поддержку технически сложных проектов.

Фаззинг – это процесс отсылки преднамеренно неправильных данных в исследуемый объект с целью вызвать ситуацию сбоя либо ошибку. Успех этой технологии измеряется результатами теста как поиск уязвимостей и их нахождение.

WEB-браузер – это программа, благодаря которой человек имеет доступ к WEB- страницам в глобальной сети интернет. Браузер должен иметь возможность для обращения к HTTP и путём обработки кода, предоставить пользователю понятную для него информацию.

WEB-сайт – это информационная единица в интернете, ресурс из WEB-страниц (документов), которые объединены общей темой и связаны между собой с помощью ссылок. Сайт регистрируется на одно лицо и обязательно привязан к конкретному домену, являющемуся его адресом. Сайт может состоять как из одной страницы, так и огромного количества. Каждая страница ресурса – это текстовый файл или его набор, написанный на специальном языке программирования (HTML, PHP,CSS и другие).

Онлайн-ритейл – это розничная продажа товаров потребителям с использованием интернета.

Фаззер – это программа, которая автоматически вводит случайные данные в программу и обнаруживает ошибки.

Методы. Глобальная система Интернет своей сетью объединила миллионы компьютеров пользователей с возможностью передачи и хранения информации. По оценкам международного союза электросвязи (МСЭ), в конце 2019 года 53,6 % населения мира, или 4,1 миллиарда человек, использовали Интернет, в котором действуют более миллиарда различных сайтов. Приведённые цифры говорят о том, что в мире разрабатывается множество различных WEB-приложений, в том числе и для бизнеса. Используя электронные площадки, бизнес продвигает свои услуги и товары на мировом рынке, такое понятие как электронная коммерция – e-сommerce прочно вошла в повседневную жизнь. Электронная коммерция – дает широкий охват аудитории и, следовательно, потенциальных покупателей. Домашним и мобильным интернетом пользуется значительное количество людей, а значит, становится проще донести до них свое предложение. Кроме того, это позволяет сделать охват различных сегментов аудитории. Также e-сcommerce требует меньше затрат на рекламу и продвижение. Наконец, возможность взаимодействовать посредством интернета с банками упростила и функцию документооборота и оплаты.

Одним из развивающихся направлений в электронной коммерции – e-сcommerce является онлайн-ритейл. Онлайн-покупки у розничных торговцев, а также у интернет-магазинов розничной торговли, согласно статистики опубликованной на сайте The Statistics Portal в 2018 году, совершили примерно 1,8 миллиарда человек по всему миру. В том же году мировые продажи в онлайн-ритейл составили 2,8 триллиона долларов США, а прогнозы показывают рост до 4,8 триллиона долларов США к 2021 году. То есть продажи в онлайн-ритейле нацелены на то, чтобы максимально приблизиться к пользователю. Современный ритейл стремится продавать свои продукты, используя омниканальность – запуская различные маркетинговые акции и программы при помощи современных WEB-приложений, все это интересно не только потребителям, но и злоумышленникам. WEB-приложения, по своей природе, доступны в Интернете круглосуточно и без выходных. Это обеспечивает злоумышленникам легкий и постоянный доступ к ним и предоставляет практически неограниченное количество времени и попыток взлома.

С точки зрения архитектуры WEB-приложение представляет собой трехуровневую систему. Первый уровень представляет собой WEB-браузер, второй – инструмент технологии создания контента (такой как Java-сервлет или ASP – страницы активных серверов), а третий уровень – базу данных. WEB-браузеры отправляют начальный запрос на средний уровень, который в свою очередь, после обработки запроса, обращается к базе данных для выполнения запрошенной задачи либо, получая информацию из базы данных, обновляет ее. Широкое распространение WEB-приложения получили вследствие того, что они могут обновляться и модифицироваться в любое время без необходимости установки программного обеспечения на клиентских компьютерах, так как само WEB-приложение находится на сервере. С точки зрения бизнес-функций и технической архитектуры современные WEB-приложения очень сложны, их сложность увеличивает поверхность атаки со стороны злоумышленников. Для обеспечения безопасности WEB-приложений необходимо применение современных технологий поиска ошибок, призванных выявлять потенциальный ущерб, вызванный различными инцидентами.

Результаты и обсуждения. Сложность структуры современных WEB-приложений и их большой размер не позволяют провести ручную проверку на наличие ошибок. Поэтому целесообразность использования средств автоматического анализа является более актуальной.

Современные разработчики программного обеспечения в своей деятельности активно используют два основных метода анализа – статистический и динамический. Динамический анализ имеет больше преимуществ по сравнению со статистическим методом, так как не использует строгих шаблонов и критериев, что позволяет выполнять его непрерывно. Анализ программы производится в процессе или по результатам исполнения программы. Основное требование, предъявляемое к динамическому анализу программного обеспечения (далее – ПО) — это малый процент замедления выполнения программы. Поскольку за один запуск программы производится анализ на одном пути исполнения программы, то для анализа всей программы требуется многократный запуск анализируемого ПО. В основном ход исполнения программы зависит от входных данных. Если в программе имеются дефекты, то при специфически входных данных эти дефекты будут воспроизведены при исполнении ПО. Автоматические методы анализа, как правило, позволяют обнаруживать ограниченный класс ошибок в программах. Среди известных методов обнаружения ошибок в ПО можно выделить: тестирование, отладку, фаззинг и динамическое символьное исполнение.

Для автоматизации процесса анализа ПО современные разработчики используют наиболее прогрессивный анализ - фаззинг. Фаззинг – это технология автоматизированного тестирования программного обеспечения с целью выявления потенциальных уязвимостей, которая охватывает большое количество путем порождения некорректных входных данных. То есть в ходе тестирования вместо ожидаемых входных данных программе передаются случайные или специально сформированные данные. В качестве входных данных при этом могут выступать обрабатываемые приложением файлы, информация, передающаяся по сетевым протоколам, функции прикладного интерфейса и т.д. Смысл такой проверки сводится к тому, что программист не знает, какие данные будут переданы приложению, протоколу, функции, поэтому главной задачей является предусмотреть и проверить как можно больше вариантов. В случае, если при тестировании ПО зависает или завершает работу в аварийном варианте, это считается нахождением дефекта в ПО, который может привести к обнаружению определенной уязвимости. Злоумышленники могут воспользоваться уязвимостью путем составления запроса, содержащего вредоносный код и данные, которые повлияют на работоспособность ПО. Фаззинг по своей сути является динамической технологией тестирования безопасности.

Под статической технологией подразумеваются любые программные средства, которые производят тестирование кода по определенным шаблонам. Средства статистического анализа кода позволяют обрабатывать большое количество кода благодаря автоматизации, результаты строго ограничены и могут быть ложными. Фаззинг же динамичен, он не имеет строгих шаблонов и критериев и может быть просто автоматизирован, выполняясь непрерывно.

Заключение. Такие преимущество фаззинга как автоматизация, выполнение большинства проверок в приложениях, нахождение множественных ошибок, большой объём тестирования с множеством вариаций, оценка, связанная с надежностью ПО (многие из них являются потенциальными проблемами безопасности) реализованы в программах средствах (приложение, фреймворк) автоматического тестирования – фаззер, которые наиболее полно удовлетворяют потребность в обеспечении безопасности современных WEB-приложений.

Одним из примеров является JBro Fuzz - фаззер уязвимостей, работающий с HTTP, SOAP, XML, LDAP и прочими сетевыми протоколами, поддерживающий большое количество самых разнообразных проверок на такие уязвимости как:

  • Межсайтовый скриптинг (Cross Site Scripting - XSS);
  • SQL инъекции (SQL-inj);
  • Переполнения буфера (buffer overflows - BFO);
  • Ошибки форматной строки (format string errors - FSE);
  • Целочисленное переполнение (integer overflows - INT);

JBro Fuzz фаззер представленный от мирового проекта OWASP - Open Web Application Security посвящен безопасности WEB-приложений. При помощи данного фаззера упрощается процесс анализа на поиск уязвимостей и имеется возможность редактировать содержание так называемых «генераторов».

Полученные в ходе тестирования данные с использованием современных технологий на основе файзинга, помогают разработчикам выявлять ошибки и устранять их в приложениях, что позитивно отражается на обеспечении безопасности и создает условия для создания более сложных, с точки зрения бизнес-функций и технической архитектуры, современных WEB- приложений.

 

Список использованных источников:

  1. https://www.anti-malware.ru/analytics/Technology_Analysis/web-security-myths-and-reality
  2. https://www.itu.int/en/ITU-D/Statistics/Pages/publications/default.aspx
  3. https://quality-lab.ru/blog/key-principles-of-web-testing/
  4. https://e-pepper.ru/news/mirovoy-rynok-ecommerce-dostignet-3-5-trln-v-2019-godu.html
  5. https://www.seonews.ru/glossary/elektronnaya-kommertsiya/
  6. https://www.digitalcommerce360.com/article/global-ecommerce-sales/
  7. https://www.statista.com/topics/871/online-shopping/
  8. https://habr.com/ru/post/460669/
  9. https://cyberleninka.ru/article/n/obespechenie-bezopasnosti-storonnih-komponentov-veb- prilozheniy/viewer
  10. https://moluch.ru/archive/186/47575/
  11. Мишечкин М. В. Обзор различных средств фаззинга как инструментов динамического анализа программного обеспечения // Молодой ученый. — 2017. — №52. — С. 28-31.
  12. https://cyberleninka.ru/article/n/fazzing-poisk-uyazvimostey-v-programmnom-obespechenii- bez-nalichiya-ishodnogo-koda/viewer.
  13. https://owasp.org/www-community/Fuzzing

Разделы знаний

Архитектура

Научные статьи по Архитектуре

Биология

Научные статьи по биологии 

Военное дело

Научные статьи по военному делу

Востоковедение

Научные статьи по востоковедению

География

Научные статьи по географии

Журналистика

Научные статьи по журналистике

Инженерное дело

Научные статьи по инженерному делу

Информатика

Научные статьи по информатике

История

Научные статьи по истории, историографии, источниковедению, международным отношениям и пр.

Культурология

Научные статьи по культурологии

Литература

Литература. Литературоведение. Анализ произведений русской, казахской и зарубежной литературы. В данном разделе вы можете найти анализ рассказов Мухтара Ауэзова, описание творческой деятельности Уильяма Шекспира, анализ взглядов исследователей детского фольклора.  

Математика

Научные статьи о математике

Медицина

Научные статьи о медицине Казахстана

Международные отношения

Научные статьи посвященные международным отношениям

Педагогика

Научные статьи по педагогике, воспитанию, образованию

Политика

Научные статьи посвященные политике

Политология

Научные статьи по дисциплине Политология опубликованные в Казахстанских научных журналах

Психология

В разделе "Психология" вы найдете публикации, статьи и доклады по научной и практической психологии, опубликованные в научных журналах и сборниках статей Казахстана. В своих работах авторы делают обзоры теорий различных психологических направлений и школ, описывают результаты исследований, приводят примеры методик и техник диагностики, а также дают свои рекомендации в различных вопросах психологии человека. Этот раздел подойдет для тех, кто интересуется последними исследованиями в области научной психологии. Здесь вы найдете материалы по психологии личности, психологии разивития, социальной и возрастной психологии и другим отраслям психологии.  

Религиоведение

Научные статьи по дисциплине Религиоведение опубликованные в Казахстанских научных журналах

Сельское хозяйство

Научные статьи по дисциплине Сельское хозяйство опубликованные в Казахстанских научных журналах

Социология

Научные статьи по дисциплине Социология опубликованные в Казахстанских научных журналах

Технические науки

Научные статьи по техническим наукам опубликованные в Казахстанских научных журналах

Физика

Научные статьи по дисциплине Физика опубликованные в Казахстанских научных журналах

Физическая культура

Научные статьи по дисциплине Физическая культура опубликованные в Казахстанских научных журналах

Филология

Научные статьи по дисциплине Филология опубликованные в Казахстанских научных журналах

Философия

Научные статьи по дисциплине Философия опубликованные в Казахстанских научных журналах

Химия

Научные статьи по дисциплине Химия опубликованные в Казахстанских научных журналах

Экология

Данный раздел посвящен экологии человека. Здесь вы найдете статьи и доклады об экологических проблемах в Казахстане, охране природы и защите окружающей среды, опубликованные в научных журналах и сборниках статей Казахстана. Авторы рассматривают такие вопросы экологии, как последствия испытаний на Чернобыльском и Семипалатинском полигонах, "зеленая экономика", экологическая безопасность продуктов питания, питьевая вода и природные ресурсы Казахстана. Раздел будет полезен тем, кто интересуется современным состоянием экологии Казахстана, а также последними разработками ученых в данном направлении науки.  

Экономика

Научные статьи по экономике, менеджменту, маркетингу, бухгалтерскому учету, аудиту, оценке недвижимости и пр.

Этнология

Научные статьи по Этнологии опубликованные в Казахстане

Юриспруденция

Раздел посвящен государству и праву, юридической науке, современным проблемам международного права, обзору действующих законов Республики Казахстан Здесь опубликованы статьи из научных журналов и сборников по следующим темам: международное право, государственное право, уголовное право, гражданское право, а также основные тенденции развития национальной правовой системы.