Аннотації

СУЧАСНІ ТЕХНОЛОГІЇ ТЕСТУВАННЯ І ЗАХИСТУ ВЕБ-СТОРІНОК

Автор(и):
Цюцюра М.І., Криворучко О.В., Жирова Т.О., Котенко Н.О.
Автор(и) (англ)
Tsiutsiura Mykola, Kryvoruchko Olena, Zhyrova Tetiana, Kotenko Nataliia
Дата публікації:

05.09.2019

Анотація (укр):

Використання веб-сторінок практично в усіх сферах сучасного суспільства зумовлює підвищення їхньої якості як з точки зору повноти та зручності контенту, так і з точки зору безпеки. Аналіз сучасних загроз безпеці веб-сторінок дав змогу виділити такі: Injection; Broken Authentication; Sensitive Data Exposure; XML External Entities; Broken Access Control; Security Misconfiguration; Cross-Site Scripting; Insecure Deserialization; Using Components with Known Vulnerabilities; Insufficient Logging & Monitoring. Проаналізовано методи боротьби з наведеними загрозами. Рекомендовано здійснювати перевірку веб-сайтів на вразливість за допомогою таких сканерів: Scan My Server, SUCURI, Qualys SSL Labs, Qualys FreeScan, Quttera, Detectify, SiteGuarding, Web Inspector, Acunetix, Netsparker Cloud, UpGuard Web Scan, Tinfoil Security, Observatory.

Анотація (рус):

Использование веб-страниц практически во всех сферах современного общества приводит к повышению их качества как с точки зрения полноты и удобства контента, так и с точки зрения безопасности. Анализ безопасности веб-страниц позволил выделить следующие угрозы: Injection; Broken Authentication; Sensitive Data Exposure; XML External Entities; Broken Access Control; Security Misconfiguration; Cross-Site Scripting; Insecure Deserialization; Using Components with Known Vulnerabilities; Insufficient Logging & Monitoring. Проанализированы методы борьбы с перечисленными угрозами. Рекомендуется осуществлять проверку веб-сайтов на уязвимость с помощью таких сканеров: Scan My Server, SUCURI, Qualys SSL Labs, Qualys FreeScan, Quttera, Detectify, SiteGuarding, Web Inspector, Acunetix, Netsparker Cloud, UpGuard Web Scan, Tinfoil Security, Observatory.

Анотація (англ):

The use of web-pages in almost all spheres of modern society results in the need for improvement of their quality both in terms of content completeness and convenience and security. An analysis of current threats to the security of web-pages allowed to distinguish the following: Injection; Broken Authentication; Sensitive Data Exposure; XML External Entities; Broken Access Control; Security Misconfiguration; Cross-Site Scripting; Insecure Deserialization; Using Components with Known Vulnerabilities; Insufficient Logging & Monitoring. Methods to prevent the listed threats have been analyzed. It is recommended to scan websites for vulnerabilities with such scaners as Scan My Server, SUCURI, Qualys SSL Labs, Qualys FreeScan, Quttera, Detectify, SiteGuarding, Web Inspector, Acunetix, Netsparker Cloud, UpGuard Web Scan, Tinfoil Security, Observatory.

Література:

  1. OWASP Top 10 - 2017 The Ten Most Critical Web Application Security Risks https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf
  2. Web Application Security Statistics. Режим доступу: http://projects.webappsec.org/w/page/13246989/Web%20Application%20Security%20Statistics
  3. State of Website Security in 2016. Режим доступу: https://webmasters.googleblog.com/2017/03/nohacked-year-in-review.html
  4. LeBlanc J., Messerschmidt T. Identity and Data Security for Web Development: Best Practices 1st Edition O'Reilly Media; (June 6, 2016) 204 p.
  5. Khawaja G., Practical Web Penetration Testing: Secure web applications using Burp Suite, Nmap, Metasploit, and more Kindle Edition, Packt Publishing; 1 edition (June 22, 2018) 294 p.
  6. Marshall J., Hands-On Bug Hunting for Penetration Testers: A practical guide to help ethical hackers discover web application security flaws Packt Publishing - ebooks Account (September 12, 2018) 373 p
  7. Brooks C., Grow C., Craig P., Short D., Cybersecurity Essentials 1st Edition, Sybex; (October 5, 2018), 784 p.
  8. 12 Online Free Tools to Scan Website Security Vulnerabilities & Malware Режим доступу: https://geekflare.com/online-scan-website-security-vulnerabilities/#SUCURI
  9. Жирова Т.О., Котенко Н.О. Проблеми тестування інтерфейсу Web-додатків. Збірник матеріалів ІХ Міжнародної конференції молодих вчених «Молоді вчені 2018 – від теорії до практики». – Дніпро-Варна : «Дике Поле», 2018. – Стор. 184-188.
  10. Котенко Н.О., Жирова Т.О. Безпека Web-додатків // Кібербезпека в Україні: правові та організаційні питання : матеріали всеукр. наук.-практ. конф., м. Одеса, 30 листопада 2018 р. – Одеса : ОДУВС, 2018. – Стор. 91-93.
  11. Sullivan B., Liu V. Web Application Security, A Beginner's Guide 1st Edition, McGraw-Hill Education; 1 edition (November 24, 2011) 352 p.
  12. Shema M., Hacking Web Apps: Detecting and Preventing Web Application Security Problems 1st Edition, Syngress; 1 edition (September 12, 2012), 296 p.

References:

  1. OWASP Top 10 – 2017 The Ten Most Critical Web Application Security Risks [electronic source] https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf
  2. Web Application Security Statistics. [electronic source] http://projects.webappsec.org/w/page/13246989/Web%20Application%20Security%20Statistics
  3. State of Website Security in 2016. Режим доступу: https://webmasters.googleblog.com/2017/03/nohacked-year-in-review.html
  4. LeBlanc, J., & Messerschmidt, T., (2016). Identity and Data Security for Web Development: Best Practices 1st Edition O'Reilly Media; (June 6) 204 p.
  5. Khawaja, G. Practical Web Penetration Testing: Secure web applications using Burp Suite, Nmap, Metasploit, and more Kindle Edition, Packt Publishing; 1 edition (June 22, 2018) 294 p.
  6. Marshall, J. Hands-On Bug Hunting for Penetration Testers: A practical guide to help ethical hackers discover web application security flaws Packt Publishing - ebooks Account (September 12, 2018) 373 p
  7. Brooks, C., Grow, C., Craig, P., & Short, D., (2018). Cybersecurity Essentials 1st Edition, Sybex; (October 5), 784 p.
  8. 12 Online Free Tools to Scan Website Security Vulnerabilities & Malware [electronic source] https://geekflare.com/online-scan-website-security-vulnerabilities/#SUCURI
  9. Zhyrova, T., & Kotenko, N., (2018). Problems testing the interface of Web-based applications. Collection of materials of the IX International Conference of Young Scientists "Young Scientists of 2018 - From Theory to Practice". – Dnipro-Varna: "Wild Field". – P. 184 – 188.
  10. Zhyrova, T., & Kotenko, N., (2018). Web-Application Security // Cyber Security in Ukraine: Legal and Organizational Issues: All-In-One Materials. sci. pract. Conf., Odessa, November 30. – ODUPS, 2018. – P. 91 – 93.
  11. Sullivan B., Liu V. Web Application Security, A Beginner's Guide 1st Edition, McGraw-Hill Education; 1 edition (November 24, 2011) 352 p.
  12. Shema M., Hacking Web Apps: Detecting and Preventing Web Application Security Problems 1st Edition, Syngress;
    1 edition (September 12, 2012), 296 p.