ВКР: Метод защиты web-приложений от несанкционированного доступа

РЕФЕРАТ
Отчет 85 стр., 3 ч., 22 рис., 7 табл. 6 ист., 3 прил.
Ключевые слова: защищенность, безопасность, web, авторизация, аутентификация, метод, owasp, http, защита
Целью данной выпускной квалификационной работы является повышение защищенности web-приложений посредством разработанного программного метода защиты данных.
В работе рассматриваются такие критические угрозы web-приложений, как: нарушение аутентификации, нарушение контроля доступа и использование слабой криптографии. Был проведен анализ существующих решений и были найдены недостатки, которые были устранены в разработанном методе защиты данных в виде программного продукта.






ABSTRACT
Volume explanatory note – 85 pages.
Explanatory note contains 3 parts, 22 drawings, 7 tables. 6 sources, 3 apps.
Key words: security, web, authorization, authentication, method, owasp, http, protection
The purpose of this final qualification work is to increase the security of web applications through the developed software method of data protection.
The paper considers such critical threats to web applications as: authentication violation, access control violation and the use of weak cryptography. An analysis of existing solutions was carried out and shortcomings were found that were eliminated in the developed method of data protection in the form of a software product.



СОДЕРЖАНИЕ
ВВЕДЕНИЕ............................................................................................ 9
1. Технико-экономическое обоснование разработанного метода........... 11
1.1. Вербальная постановка задачи...................................................... 11
1.2. Обоснование актуальности разработки......................................... 11
1.3. Анализ актуальных угроз.......................................................... 12
1.3.2. Нарушение аутентификации...................................................... 15
1.3.3. Нарушение контроля доступа.................................................... 17
1.3.4. Слабая криптография................................................................ 19
1.4. Анализ существующих решений................................................ 21
1.4.1. OAuth...................................................................................... 23
1.4.2. OpenID Connect........................................................................ 24
1.4.3. SAML....................................................................................... 26
1.4.4. API Key.................................................................................... 26
1.4.5. Сравнительный анализ существующих решений........................ 28
1.5. Экономическое обоснование актуальности задачи......................... 33
1.5.1. Анализ рынка........................................................................... 37
1.5.2. Расчет затрат на разработку программного продукта.................. 37
1.5.3. Оценка потенциальной доходности при внедрении и реализации проекта. 38
1.5.4. Расчет финансовых показателей проекта.................................... 38
1.5.5. Расчет постоянных затрат.......................................................... 38
1.5.6. Расчет переменных затрат......................................................... 42
1.5.7. Начальные инвестиции в проект................................................ 43
1.5.8. Прогноз финансовых показателей проекта................................. 45
2. Метод защиты web-приложений ..................................................... 46
2.1. Требования к разрабатываемому методу....................................... 46
2.2. Описание метода защиты............................................................. 46
2.3. Математическая модель надежности разрабатываемого метода..... 48
3. Исследование эффективности разработанного метода...................... 64
3.1. Тестирование эффективности разработанного метода.................... 64
3.2. Расчет себестоимости выполнения ВКР........................................ 67
3.2.1. Календарный план выполнения работы...................................... 68
3.2.2. Затраты на основную заработную плату..................................... 70
3.2.3. Затраты на дополнительную заработную плату....................... 70
3.2.4. Затраты на страховые взносы во внебюджетные фонды........... 72
3.2.5. Затраты на содержание и эксплуатацию оборудования............ 73
3.2.6. Затраты на амортизационные отчисления............................... 74
3.2.7. Затраты на накладные расходы............................................... 75
3.2.8. Себестоимости разработки..................................................... 76
3.2.9. Выводы по расчету себестоимости......................................... 77
3.2.10. Вывод о целесообразности разработки программного комплекса 77
ЗАКЛЮЧЕНИЕ.................................................................................... 79
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ....................................... 80
ПРИЛОЖЕНИЕ А................................................................................. 81
ПРИЛОЖЕНИЕ Б................................................................................. 83
ПРИЛОЖЕНИЕ В................................................................................. 84


ОПРЕДЕЛЕНИЯ, ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
НДС – Налог на добавленную стоимость;
CSRF – «Cross-site request forgery» или межсайтовая подделка запроса – вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP.
OWASP – «Open Web Application Security Project», открытый проект обеспечения безопасности веб-приложений
БД – база данных
DDOS-атака – «Distributed Denial of Service attack» или атака типа «отказ в обслуживании»
GDPR – «General Data Protection Regulation», общий регламент по защите данных, определяющий порядок обработки персональных данных организациями
XSS – «Cross-Site Scripting» или межсайтовый скриптинг – это уязвимость системы безопасности, которая позволяет злоумышленнику размещать клиентские скрипты (обычно