Державний університет інформаційно-комунікаційних технологій
XS
SM
MD
LG
XL
XXL
Державний університет інформаційно-комунікаційних технологій
Державний університет інформаційно-комунікаційних технологій

Адреса:
03110, Україна
м. Київ, вул. Солом'янська, 7
Контактна інформація:
Приймальна комісія:
Телефон: (044) 249-25-91,
Телефон: (066) 227-46-60
Відділ документаційно-інформаційного забезпечення та контролю
Телефон / факс: (044) 249-25-12
Відділ медіакомунікацій
Телефон: (099) 109-41-23
Державний університет інформаційно-комунікаційних технологій
  
Укр.
 
      
           Пошук    
  
Укр.
 

Вивчення на кафедрі УІКБ недоліків фільтрації введених даних ВЕБ-додатками на практиці від XSS атак

11:16, 13-11-2020

На кафедрі “Управління інформаційною та кібернетичною безпекою” (УІКБ) приділяється постійна увага вивченню результатів наукових досліджень по підвищенню захищенності інформаційної та кібернетичної безпеки комп'ютерних систем і  упровадженню їх в навчальний процес.

Мистецтво розробки додатків повинне супроводжуватись умінням організувати щоденні операції для підтримки роботи цих додатків. Через відкритий доступ до керування web-додатком, кількість хакерських атак на такі програми дуже велика.

Одним із найпоширеніших векторів атак на користувачів ВЕБ-ресурсів (як звичайних клієнтів так і власників та відповідальних за ресурс) є XSS атаки.

XSS (англ. Cross-Site Scripting — «міжсайтовий скриптинг») полягає у введені на ВЕБ-сторінку JavaScript-коду, який не був передбачений розробниками, такий код буде виконуватись кожного разу, коли користувач відкриває сторінку.

На кафедрі у студентів є можливість власноруч дослідити та протестувати на практиці даний вектор атаки та пов’язані з ним вразливості ВЕБ-додатків.

Для проведення тестування використовується онлайн-лабораторія на базі OWASP Juice Shop.

Для прикладу: Виявити вразливість до XSS у лабораторному ВЕБ-додатку можна на сторінці із пошуком, ввівши у поле пошуку <script> alert ("XSS") </ script>, та натиснувши кнопку пошуку. ВЕБ-додаток із некоректною обробкою введених даних, сприймає введений запис як частину коду і відображає її для корисутвача.

Розглянуті питання використовуються в навчальних дисциплінах кафедри: “Аудит систем захисту інформації”, “Організаційне забезпечення захисту інформації”, “Управління безпекою інформаційних мереж”.

Наступного разу у новинах планується ознайомлення із рекомендаціями по використанню Score Board, аналізу JavaScript коду та провокуванні помилок у роботі веб-додатку для виявлення нових вразливостей.

Важливе попередження: використовуйте отримані знання лише з добрими намірами!
 

Довідка

XSS атака

XSS (міжсайтовий скриптинг) - один з різновидів атак на веб-системи, яка має на увазі впровадження шкідливого коду на певну сторінку сайту і взаємодію цього коду з віддаленим сервером зловмисників при відкритті сторінки користувачем.

Термін з англійської розшифровується як Cross-Site Scripting, але при цьому він отримав абревіатуру XSS, щоб не було плутанини з CSS (каскадні таблиці стилів).

XSS очима зловмисника

  • Пасивна та активна. Існує два типа XSS вразливостей - пасивна та активна. ...
  • Кража Cookies. Це найбільш частий приклад XSS-атаки. ...
  • Кража даних із форм ...
  • DDoS-атака (розподілена атака типу «відмова у обслуговуванні») ...
  • Підробка міжсайтових запитів (CSRF / XSRF)...
  • XSS-черві ...
  • Безобідний XSS. ...
     

*****

© При повному чи частковому використанні матеріалів сайту ДУІКТ гіперпосилання на сайт https://duikt.edu.ua/ обов'язкове!
Читайте також
Бажаєте дізнаватись про особливості вступу у 2025 році?
Підписуйтесь на спільноти спеціальності "125 Кібербезпека та захист інформації" кафедри Управління кібербезпекою та захистом інформації та першим отримуйте новини, сповіщення про важливі події, підготовчі курси, дні відкритих дверей та багато цікавого.

Про кафедру

Кафедра Управління кібербезпекою та захистом інформації

Отримати консультацію

Ваш запит на зворотній дзвінок отримає завідуючий кафедрою
Надіслати запит

Абітурієнту

Спеціалізація: Управління інформаційною безпекою

Фахівці з Управління інформаційною безпекою – це еліта інформаційної безпеки, менеджери безпеки інформації вищої ланки. Ці фахівці розуміються як з техничних питань захисту інформації, так й з питань організації роботи колективу, добре розуміють управлінські, законодавчі та економічні аспекти захисту інформації. До сфери специфічних знань та навичок спеціалізації відносяться: основні поняття кібернетичної безпеки, систем технічного захисту інформації, управління проектами, управління ризиками, нормативно-правова база діяльності, управління інцидентами, аудит інформаційної безпеки, інформаційне протиборство, менеджмент та психологія управління.

Спеціалізація: Управління інформаційною безпекою

Фахівці з Управління інформаційною безпекою – це еліта інформаційної безпеки, менеджери безпеки інформації вищої ланки. Ці фахівці розуміються як з техничних питань захисту інформації, так й з питань організації роботи колективу, добре розуміють управлінські, законодавчі та економічні аспекти захисту інформації. До сфери специфічних знань та навичок спеціалізації відносяться: основні поняття кібернетичної безпеки, систем технічного захисту інформації, управління проектами, управління ризиками, нормативно-правова база діяльності, управління інцидентами, аудит інформаційної безпеки, інформаційне протиборство, менеджмент та психологія управління.

Переглядів: 4 796