На кафедрі “Управління інформаційною та кібернетичною безпекою” (УІКБ) приділяється постійна увага вивченню результатів наукових досліджень по підвищенню захищенності інформаційної та кібернетичної безпеки комп'ютерних систем і упровадженню їх в навчальний процес.
Мистецтво розробки додатків повинне супроводжуватись умінням організувати щоденні операції для підтримки роботи цих додатків. Через відкритий доступ до керування web-додатком, кількість хакерських атак на такі програми дуже велика.
Одним із найпоширеніших векторів атак на користувачів ВЕБ-ресурсів (як звичайних клієнтів так і власників та відповідальних за ресурс) є XSS атаки.
XSS (англ. Cross-Site Scripting — «міжсайтовий скриптинг») полягає у введені на ВЕБ-сторінку JavaScript-коду, який не був передбачений розробниками, такий код буде виконуватись кожного разу, коли користувач відкриває сторінку.
На кафедрі у студентів є можливість власноруч дослідити та протестувати на практиці даний вектор атаки та пов’язані з ним вразливості ВЕБ-додатків.
Для проведення тестування використовується онлайн-лабораторія на базі OWASP Juice Shop.
Для прикладу: Виявити вразливість до XSS у лабораторному ВЕБ-додатку можна на сторінці із пошуком, ввівши у поле пошуку <script> alert ("XSS") </ script>, та натиснувши кнопку пошуку. ВЕБ-додаток із некоректною обробкою введених даних, сприймає введений запис як частину коду і відображає її для корисутвача.
Розглянуті питання використовуються в навчальних дисциплінах кафедри: “Аудит систем захисту інформації”, “Організаційне забезпечення захисту інформації”, “Управління безпекою інформаційних мереж”.
Наступного разу у новинах планується ознайомлення із рекомендаціями по використанню Score Board, аналізу JavaScript коду та провокуванні помилок у роботі веб-додатку для виявлення нових вразливостей.
Важливе попередження: використовуйте отримані знання лише з добрими намірами!
Довідка
XSS (міжсайтовий скриптинг) - один з різновидів атак на веб-системи, яка має на увазі впровадження шкідливого коду на певну сторінку сайту і взаємодію цього коду з віддаленим сервером зловмисників при відкритті сторінки користувачем.
Термін з англійської розшифровується як Cross-Site Scripting, але при цьому він отримав абревіатуру XSS, щоб не було плутанини з CSS (каскадні таблиці стилів).
*****
Instagram: https://www.instagram.com/uikb_duikt/
Фахівці з Управління інформаційною безпекою – це еліта інформаційної безпеки, менеджери безпеки інформації вищої ланки. Ці фахівці розуміються як з техничних питань захисту інформації, так й з питань організації роботи колективу, добре розуміють управлінські, законодавчі та економічні аспекти захисту інформації. До сфери специфічних знань та навичок спеціалізації відносяться: основні поняття кібернетичної безпеки, систем технічного захисту інформації, управління проектами, управління ризиками, нормативно-правова база діяльності, управління інцидентами, аудит інформаційної безпеки, інформаційне протиборство, менеджмент та психологія управління.
Фахівці з Управління інформаційною безпекою – це еліта інформаційної безпеки, менеджери безпеки інформації вищої ланки. Ці фахівці розуміються як з техничних питань захисту інформації, так й з питань організації роботи колективу, добре розуміють управлінські, законодавчі та економічні аспекти захисту інформації. До сфери специфічних знань та навичок спеціалізації відносяться: основні поняття кібернетичної безпеки, систем технічного захисту інформації, управління проектами, управління ризиками, нормативно-правова база діяльності, управління інцидентами, аудит інформаційної безпеки, інформаційне протиборство, менеджмент та психологія управління.
Ваш запит успішно надіслано