Дзьобан Павел Игоревич методика и алгоритмы защиты аутеитификациоиных

Download 16,12 Kb.

Sana	09.06.2022
Hajmi	16,12 Kb.
	#646365
Turi	Автореферат

Bog'liq
Документ Microsoft Word (2)

Дзьобан Павел Игоревич

МЕТОДИКА И АЛГОРИТМЫ ЗАЩИТЫ АУТЕИТИФИКАЦИОИНЫХ

ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ В WEB - ПРИЛОЖЕНИЯХ

Специальность 05.13.19 - Методы и системы защиты информации,

информационная безопасность

АВТОРЕФЕРАТ 1 О 201 7

диссертации на соискание ученой степени
кандидата технических наук

Краснодар-2017

Общая характеристика работы

Актуальность темы исследования. Разработка \уеЬ-приложений (интернет-банкинг, платежные системы, различные ресурсы, которые передают, обрабатывают и хранят персональные данные и др.) является новым и [шпболее перспективным направлением развития информационных и телекоммуникационных технологий. Задача разработчиков и любого web-ресурса - уберечь информацию конфиденциального характера от хищения, последствия которого выражаются в изменении или уничтожении контента ресурса. При получении злоумышленником аутентификационных данных пользователя web-pecypca в 90 % случаев идентификатор и аутентификатор будут действительными на других web-pecypcax.

Стоит отметить, что реализация SSL/TLS соединения в web-pecypce является основной мерой обеспечения целостности и конфиденциальности ведения диалога между клиентом и сервером web-приложения. Таким образом, злоумышленнику необходимо выявить уязвимости либо на
клиентской стороне, либо на серверной. На стороне клиента хищение идентификационных и аутентификационных данных может произойти на этапе возобновления сессий браузера пользователя или хищения приватных ключей RSA, еели был выбран данным алгоритм шифрования. Также возможна реализация хищения идентификаторов сессии \уеЬ-браузера
пользователя и cookies-файлов, а также аутентификаторы предыдущих сессий пользователя на том пли ином web-приложении, прибегая к элементарному анализатору сетевых пакетов (Wireshark), или реализуя атаки, основанные на полном повторении злоумышленником легитимного ресурса - фишинге. Данные угрозы реализованы недавно и основываются па логированип симметричных сессионных ключей в сводный файл различными web-
браузерами.
Со стороны сервера допускается угроза утери аутентификационных данных пользователей. Злоумыщлеиник способен организовать атаку непосредственно на базу данных сервера web-прнложення, атаки
перенолнения буфера, SQL-инъекции, выполнение межсаГгювых скриптов и
прочие.
Актуальность обоснована противодействием реализации описанных
типов сетевых атак н увеличения уровня конфиденциальности, целостности и
доступности аутентнфикационных данных пользователей \\'еЬ-приложсния.
Степень разработанности темы нсследованим. В области защигы
аутентификаци01и1ых данных пользователей в web-приложсниях
теоретическая и методологическая базы в настоящее время формируется
усилиями таких российских ученых как П.Д . Зегждой, А.Ю. Щербаковым,
Ю.В. Вайнштейном, A.B. Лсймапом и зарубежных ученых W. üiftle , М.
Hellman, Е. Beliam, Keilli D. Cooper и други.ми учеными. Обсспсчсиию
безопасности ввода аутентификаци01и1ых данных на клиентской стороне в
vveb-приложение, легитимность которого не подтверждена, ДОЛЖЕЮГ О
внимания удслсЕЮ К С бЕлло. Также, ССЛЕЕ рассмоЕреть ДЕЕЩЕОГ между KJEEECEEEOM ЕЕ
сервером \УсЬ-прЕЕложеЕЕИя с ракурса базьЕ ДЗЕЕЕЕЫХ, МОЖЕЕ О заметгЕгь, что в
ЕЕТОГе ауТСЕЕТЕЕфЕЕКаЩЕОЕЕЕЕЫе ДаЕЕЕЕЕЛС СраВЕЕЕЕВаЕОТСЯ в открытом ВЕЕДе. в случае
НрОВСДСЕЕЕЕЯ аТаКЕЕ ЕЕа базу ДаЕЕЕЕЬЕХ УУСЬ-ЕЕРЕЕЛОЖСЕЕЕЕЯ ЗЛОуМЫЕЦЛСЕЕЕЕЕЕКу будут
достуЕЕЕЕЬЕ хсш-суммы вссх Етользователсй ЕЕ дальЕЕсйшая расцЕЕЕ(|)ровка для
ПОЕЕуЧеЕЕЕЕЯ ЕЕСХОДЕЕЬЕХ ЗЕЕаЧСЕЕЕЕЙ EEC ПрСДСТаЕЕЛЯСТС Я СЛОЖЕЕЬЕМ.
Целью НССЛеДОВЕИЕНН является ПОВЬЕШСЕЕИ С урОВЕЕ Я ЕЕСЛОСТЕЕОСТЕЕ ЕЕ
КОЕЕфЕЕДСЕЕЦЕЕаЗЕЬЕЕОСТЕЕ ЕЕСрСДаЧЕЕ, обрабоТКЕ Е ЕЕ ХрЗЕЕСЕЕЕЕЯ ЕЕДСЕЕТЕЕфЕЕКаЦЕЕОЕЕЕЕЫХ ЕЕ
ауТеНТЕЕфЕЕКаЦЕЮЕЕЕЕЬЕХ ДаЕЕЕЕЫХ ПОЛЕЛОВаТСЛС Й и , ка к рСЗуЛЕ.ТаГ , ЗаЕЦЕЕШСЕЕЕЕОСТЕЕ
КОЕЕТЕЕЕТА web-pecypca в ЕЕСЛОМ.
Объектом нсследопанн» ЯВЛЯЕОТС Я средства АУТСЕЕТЕЕФЕЕКАЕЦЕЕЕ
пользователей ЕЕЗ сервере МСЬ-ЕЕРЕЦЕОЖСЕЕЕЕЯ.
Предметом исследования ЯВЛЯЕОТС Я методьЕ , МСТОДЕЕКВЕ ЕЕ азЕЕорЕЕТмьЕ
ЗаЩЕЕТ Ы аутеЕЕТЕЕфвЕКаЦЕЕОЕЕЕЕЬЕХ ДаЕЕЕЕЬЕХ ЕЕОЛЬЗОВаТСЛС Й УУсЬ-ПрЕЕЛОЖСЕЕЕЕЯ,

Download 16,12 Kb.

Do'stlaringiz bilan baham: