303.33K

12

1.

Министерство науки и высшего образования РФ
Федеральное государственное1бюджетное образовательное
учреждение
высшего образования
«Астраханский государственный университет имени В.Н. Татищева»
КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПРОГРАММНО–АППАРАТНЫЕ СРЕДСТВА ЗАЩИТЫ
Программно-аппаратные средства защиты веб-платформы по обучению
персонала от атак методом социальной инженерии
Исполнитель: студент группы ИФ-41
Попов Алексей Викторович
Научный руководитель: к.т.н., доцент
кафедры информационной безопасности
Демина Раиса Юрьевна
Астрахань, 2024
1

2.

Актуальность
• Большинство уязвимостей в программном обеспечении и
несовершенства протоколов безопасности были закрыты
различными технологиями, в результате чего фокус вектора атак
злоумышленников сместился с техники на человека.
• Таким образом веб-платформа для обучения персонала от атак
методом социальной инженерии является актуальной темой в
нынешнее время.
2

3.

Цели и задачи
• Целью данной курсовой работы является программно-аппаратная
защита веб-платформы для обучения персонала от атак методом
социальной инженерии.
• Задачами являются:
• Спроектировать веб-платформу
• Проанализировать уязвимости
• Выявить угрозы и сформировать контр меры
• Реализовать выбранные контрмеры
3

4.

Проектирование веб-платформы
• Основные категории пользователей:
• Сотрудники;
• Руководители;
• Администраторы.
• Функциональные возможности:
• Управление пользователями;
• Управление группами;
• Взаимодействие с курсами;
• Получение статистики;
• Генерация отчетов.
4

5.

Концептуальное проектирование базы
данных
• Веб-платформа, предназначенная для обучения сотрудников
методам защиты от атак социальной инженерии, должна
обеспечивать эффективное управление пользователями и их
обучением. В рамках концептуального проектирования базы
данных выделим основные сущности и их атрибуты.
• Основные сущности:
• Пользователь;
• Курс;
• Тест;
• Статистика.
5

6.

Логическое проектирование базы данных
• Логическое проектирование базы
данных
для
веб-платформы,
предназначенной
для
обучения
персонала методам защиты от атак
социальной инженерии, включает
создание
структур
таблиц,
определение
их
атрибутов
и
установление взаимосвязей между
ними.
6

7.

Физическое проектирование базы данных
Для физической разработки базы
данных была выбрана система
управления
базами
данных
(СУБД) Microsoft SQL Server. Это
одна из наиболее мощных и
широко используемых СУБД,
которая предлагает высокую
производительность, надежность
и
масштабируемость,
необходимые для веб-платформы
по обучению персонала.
7

8.

Программно-аппаратная защита вебплатформы
• Логическое проектирование базы
данных
для
веб-платформы,
предназначенной
для
обучения
персонала методам защиты от атак
социальной инженерии, включает
создание
структур
таблиц,
определение
их
атрибутов
и
установление взаимосвязей между
ними.
8

9.

Актуальные угрозы
Угроза
Описание
Контрмеры
SQL-инъекции
Злоумышленник
может
Использование
внедрить вредоносный SQL-код подготовленных
запросов
и
через поля ввода для доступа к ORM для защиты от инъекций.
базе данных.
XSS-атаки
Вредоносный
может
быть
скрипт
внедрен
Экранирование
на пользовательского
страницу и выполнен в браузере использование
пользователя.
CSP
ввода
и
(Content
Security Policy).
9

10.

Реализация защиты от SQL-инъекций
SQL-инъекция

это
тип
атаки,
при
которой
злоумышленник вставляет или "инъектирует" вредоносный
SQL-код в запросы к базе данных через пользовательский
ввод. Это может позволить ему получить доступ к данным,
изменить их или даже удалить.
Способы защиты от SQL-инъекций:
1. Параметризованные запросы;
2. ORM (Object-Relational Mapping);
3. Валидация входных данных;
4. Web Application Firewall (WAF).
10

11.

Реализация защиты от XSS атак
Рассмотрим пример веб-приложения
на
HTML
и
JavaScript,
которое
демонстрирует
экранирование
пользовательского ввода для защиты от
XSS-атак. Мы создадим простую HTMLформу, где пользователь может ввести
текст, и затем отобразим этот текст на
странице с использованием экранирования.
11

12.

Заключение
• Таким образом, мы рассмотрели программно-аппаратную защиту
веб-платформы, сравнили популярные методы и реализовали
защиту.
12

13.

Министерство науки и высшего образования РФ
Федеральное государственное1бюджетное образовательное
учреждение
высшего образования
«Астраханский государственный университет имени В.Н. Татищева»
КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПРОГРАММНО–АППАРАТНЫЕ СРЕДСТВА ЗАЩИТЫ
Программно-аппаратные средства защиты веб-платформы по обучению
персонала от атак методом социальной инженерии
Исполнитель: студент группы ИФ-41
Попов Алексей Викторович
Научный руководитель: к.т.н., доцент
кафедры информационной безопасности
Демина Раиса Юрьевна
Астрахань, 2024
13
English     Русский Правила