Метод повышения устойчивости браузеров мобильных устройств к атакам на основе межсайтового выполнения сценариев
- Автор:
Глабай, Сергей Николаевич
- Шифр специальности:
05.13.19
- Научная степень:
Кандидатская
- Год защиты:
2013
- Место защиты:
Санкт-Петербург
- Количество страниц:
159 с. : ил.
Стоимость:
700 р.499 руб.
до окончания действия скидки
00
00
00
00
+
Наш сайт выгодно отличается тем что при покупке, кроме PDF версии Вы в подарок получаете работу преобразованную в WORD - документ и это предоставляет качественно другие возможности при работе с документом
Страницы оглавления работы
СОДЕРЖАНИЕ
СПИСОК СОКРАЩЕНИЙ И ИСПОЛЬЗУЕМЫХ ТЕРМИНОВ ВВЕДЕНИЕ
ГЛАВА 1. МЕЖСАЙТОВОЕ ВЫПОЛНЕНИЕ СЦЕНАРИЕВ В КОНТЕКСТЕ БЕЗОПАСНОСТИ ВЕБ-ПРИЛОЖЕНИЙ
1.1. Анализ процесса исполнения JavaScript как среды исполнения атаки межсайтовое выполнение сценариев
1.2. Анализ информационных воздействий при атаке межсайтовым выполнением сценариев
1.3. Факторы успешного развития атаки межсайтовое выполнение сценариев
1.4. Особенности развития атаки межсайтового выполнения сценариев на мобильных устройствах
1.5. Разработанные решения защиты от межсайтового выполнения сценариев и анализ существующих решений
1.6. Выводы
ГЛАВА 2. РАЗРАБОТКА ПРОГРАММНО-АППАРАТНОГО СРЕДСТВА ДЛЯ МОДЕЛИРОВАНИЯ АТАКИ МЕЖСАЙТОВОЕ ВЫПОЛНЕНИЕ СЦЕНАРИЕВ
2.1. Аппаратное обеспечение среды моделирования для изучения атаки межсайтовое выполнение сценариев
2.2. Разработка модели злоумышленника, исполняющего атаку межсайтовое выполнение сценариев
2.3. Разработка сайта, использующегося для тестирования векторов атаки межсайтовое выполнение сценариев
ГЛАВА 3. ТЕСТИРОВАНИЕ ВЕКТОРОВ АТАК НА БРАУЗЕРАХ МОБИЛЬНЫХ УСТРОЙСТВ
3.1. Выявление и извлечение уникального поведения браузеров при атаке межсайтовое выполнение сценариев
3.2. Статистика уязвимости браузеров, атакованных межсайтовым выполнением сценариев
3.3. Разработка классификации векторов межсайтового выполнения сценариев ГЛАВА 4. РАЗРАБОТКА МОДЕЛИ СЕТЕВОГО ИММУНИТЕТА МЕТОДОМ КЛАСТЕРНОГО АНАЛИЗА
4.1. Разработка массива признаков векторов атак
4.2. Кластеризация векторорв атак на основании массива признаков
4.3. Поведенческая модель сетевого иммунитета
ГЛАВА 5. РАЗРАБОТКА И ТЕСТИРОВАНИЕ ПРОГРАММНОГО СРЕДСТВА ЗАЩИТЫ ОТ АТАК МЕЖСАЙТОВОЕ ВЫПОЛНЕНИЕ СЦЕНАРИЕВ
5.1. Безопасность программного обеспечения операционной системы Android
5.2. Реализация мер по предотвращению исполнения атаки межсайтовое выполнение сценариев
5.3. Практическая реализация средства защиты от атаки межсайтовое выполнение сценариев
5.4. Анализ механизмов защиты от атак межсайтового выполнения сценариев ЗАКЛЮЧЕНИЕ
ВЫВОДЫ
СПИСОК ЛИТЕРАТУРЫ ПРИЛОЖЕНИЕ
СПИСОК СОКРАЩЕНИЙ И ИСПОЛЬЗУЕМЫХ ТЕРМИНОВ
Термин, его синонимы, употребляющиеся в настоящей работе Интерпретация
API Application Programming Interface. Совокупность возможностей программирования приложений.
APN Access Point Name. Шлюз мобильной сети передачи данных.
ARM Advanced RISC Machine. Микропроцессорная архитектура с сокращённым набором команд.
ASLR Address Space Layout Randomization. Рандомизация адресного пространства. Механизм обеспечения безопасного доступа к адресам памяти различных структур данных.
ASP Active Server Pages. Технология создания веб-приложений и веб-сервисов, разработанная компанией Майкрософт.
CERT Computer Emergency Response Team. Группа реагирования на компьютерные инциденты.
CGI-PERL Common Gateway Interface Perl. Стандарт интерфейса, используемого для связи внешней программы с веб-сервером, использующий язык программирования Perl.
CSS Cascading Style Sheets. Каскадные таблицы стилей.
CSSOM CSS Object Model. Объектная модель каскадной таблицы стилей.
CWE Common Weakness Enumeration. Общедоступный список уязвимостей.
DDoS Distributed Denial of Service. Распределенная атака типа отказ в обслуживании.
DOM Document Object Model. Объектная модель документа.
DSI Defense Simulation Internet. Имитационная оборонительная сеть, предназначенная для выявления злоумышленника.
ECMA European Computer Manufacturers Association. Ассоциация, деятельность которой посвящена стандартизации информационных и коммуникационных технологий
ECMA-262 Официальный стандарт языка JavaScript
FLOSS Free/Libre and Open-Source Software. Свободное программное обеспечение с общедоступными исходными кодами.
HTML HyperText Markup Language. Язык гипертекстовой разметки. Стандартный язык разметки документов сети Интернет.
HTML5 HyperText Markup Language, version 5. Язык структурирования и представления содержимого сети Интернет, версия 5.
HTTP HyperText Transfer Protocol. Протокол передачи данных прикладного уровня.
IE Internet Explorer. Программа-обозреватель, разрабатываемая корпорацией Майкрософт.
IIS Internet Information Server. Набор серверов для служб Интернета, разработанный компанией Майкрософт
IPAAS Integration Platform as a Service. Технология получения облачной платформы с интеграцией программных пакетов и сервисов.
JSP JavaServer Pages. Технология, позволяющая вебразработчикам создавать содержимое, имеющее как статические, так и динамические компоненты.
KHTML Компонент для просмотра HTML документов, разработанный для среды KDE для UNIX-систем.
LDAP ingection Lightweight Directory Access Protocol injection.Методом нападения при котором формируются LDAP операторы из потока входных данных от пользователей.
Mac OS X Проприетарная операционная система производства Apple.
NSA National Security Agency. Агентство национальной безопасности Соединённых Штатов Америки.
OWASP Open Web Application Security Project. Открытая организация обеспечения безопасности веб-приложений.
PHP Hypertext Preprocessor. Скриптовый язык программирования общего назначения.
RCE Remote Code Execution. Удаленное исполнение кода.
RSS Семейство XML-форматов, предназначенных для описания лент новостей
настоящее время отсутствует программное обеспечение, поддерживающее динамическую оценку кода, загружаемого пользователю (Weinberger et al., 2011).
1.6. Выводы
Межсайтовое выполнение сценариев является серьезной проблемой информационной безопасности, безопасности веб-приложений. Существующие исследования выделяют три типа сценариев: отраженные, устойчивые и основанные на объектной модели документа. Единственным гарантированным способом защиты от атаки выполнения сценариев на стороне клиента является полное отключение поддержки JavaScript в браузере. При выполнении данного условия устойчив к атаке будет только браузер, другое программное обеспечение, получающее данные из сети Интернет, будет по-прежнему уязвимо. Кроме того, при текущей рапространенности сценариев JavaScript их отключение делает неработоспособными большую часть приложений. üSsäD Имеющиеся исследования, касающиеся защиты веб-приложений, не
гарантируют полной защиты от межсайтового выполнения сценариев, как на стороне клиента, так и на стороне сервера. Ни одно из существующих решений безопасности не даст полной защиты ff<âD Существующие векторы атак на веб-браузеры исследованы
недостаточно, многие уязвимости, приводящие к атакам, в настоящее время не закрыты и требуют дальнейшего изучения. Всегда существует риск выявления новых векторов атаки.
0<й© Влияние атаки межсайтового выполнения сценариев на браузеры
мобильных устройств на базе ARM архитектуры практически не
изучено.
Рекомендуемые диссертации данного раздела
| Название работы | Автор | Дата защиты |
|---|---|---|
| Разработка методологии оценки уровня защищенности и математических моделей компонент комплексной системы обеспечения безопасности объектов информатизации | Пирожникова, Ольга Игоревна | 2014 |
| Математические модели и алгоритмы распознавания упакованных вредоносных программ | Сорокин, Иван Витальевич | 2013 |
| Разработка метода оценивания эффективности систем защиты информации | Парахин, Виктор Николаевич | 1999 |