Безопасность веб-сайтов | StudHouse
  • SQL Injection от А до Я

    Введение в тему безопасности Web-приложений.  Классическая техника эксплуатации уязвимости внедрение операторов SQL (SQL Injection). Слепое внедрение операторов SQL (Blind SQL Injection).  Работа с файловой системой и выполнение команд на сервере при эксплуатации уязвимости SQL Injection. Методы обхода программных фильтров безопасности. Методы обхода Web Application Firewall (WAF).

    SQL-Injection-от-А-до-Я

    Загрузить документ

  • Учебный стенд «системы умного дома»

    Учебный стенд. Разработка аппаратно-программного стенда. Среда разработки ArduinoIDE. Python IDLE.

    Бакалаврская работа.

    Цель работы — повышение эффективности обучения учащихся принципам работы компонентов системы бытовой автоматизации и созданию управляющих программ, реализующие логику работы системы.

    Задачи заключались в разработке аппаратно-программного стенда для выполнения практических работ по управлению устройствами системы бытовой автоматизации с использованием языка программирования высокого уровня Python и протокола передачи данных TCP/IP.

    Работа состоит из пяти глав, в которых решены упомянутые задачи.

    Для организации передачи данных и в качестве исполнительных устройств использованы микропроцессорные модули ESP8266-01 с интерфейсом Wi-Fi. В качестве управляющего модуля использован одноплатный компьютер Raspberry Pi 3. Для создания прошивок микроконтроллеров ESP8266 использована интегрированная среда разработки ArduinoIDE. Для создания управляющих программ работы управляющего модуля использована интегрированная среда разработки Python IDLE операционной системы Raspbian. А также реализовано дистанционное управление стендом, через устройства на базе операционной системы Android.

    В процессе работы был создана аппаратно-программный стенд для организации практического обучения учащихся навыкам написания программ на языке Python, а также основам передачи данных в локальной сети и в сети интернет. Аппаратно-программный стенд позволяет получать информацию с датчиков и удаленно управлять комплексом устройств, подключенных к сети Wi-Fi.

    Степень внедрения — установка по разработанной документации является опытным образцом.

    Областью применения аппаратно-программного стенда являются учебные заведения, однако возможно его использование в экспериментальных целях в организациях соответствующего рода деятельности.

    Разработанные методические пособия по выполнению лабораторных работ позволят повысить эффективность обучения учащихся языку программирования высокого уровня Python, а также получить основные представления о принципах работы системы бытовой автоматизации.

    Учебный-стенд-системы-умного-дома-1

    Загрузить документ

  • Защита информации в базах данных и экспертных системах

    Защита информации в базах данных и экспертных системах.

    Приводятся основные понятия и положения защиты информации в БД и экспертных системах, методы и модели управления доступом и обеспечения целостности и доступности информации, описание основ программирования хранимых процедур, функций и триггеров, а также сведения по организации систем защиты в СУБД MS SQL Server и MS Access.

    Основы информационной безопасности информационных систем. Специфика защиты в базах данных. Управление доступом к данным. Обеспечение целостности данных. Восстановление целостного состояния БД. Защита данных с помощью представлений, сохраненных процедур, функций и триггеров. Система защиты Microsoft Access. Архитектура системы безопасности SQL Server. Система безопасности уровня базы данных.

    Пособие для студентов факультета радиофизики и компьютерных технологий.

    Защита-информации-в-БД

    Загрузить документ

  • Безопасность файлов и метаданных в СУБД Firebird

    Безопасность файлов базы данных СУБД Firebird. Безопасность метаданных. Безопасность файлов.

    В этой статье описываются вопросы, связанные с безопасностью файлов базы данных СУБД Firebird, в особенности безопасности метаданных, хранящихся в этих файлах. Статья была написана в ответ на большое количество вопросов, касающихся указанной темы, в листах поддержки СУБД Firebird. Статья избегает технических подробностей темы. Для выяснения способов обеспечения безопасности файлов определенной операционной системы обратитесь к соответствующей документации по используемой операционной системе; для выяснения способов обеспечения безопасности объектов базы данных СУБД Firebird обратитесь к документации на сайте, ссылка на который дана чуть выше, или приобретите книгу Хелен Борри (Helen Borrie) The Firebird Book (в скором будущем планируется выпуск переведенной на русский язык версии этой книги, которая будет называться Firebird: Руководство разработчика баз данных и выйдет в издательстве “БХВ-Петербург” — прим. перев.).

    Безопасность-файлов-и-метаданных-в-СУБД-Firebird

    Загрузить документ

  • МАКЕТ СТЕНДА-ТРЕНАЖЕРА ДЛЯ ИМИТАЦИИ АТАК НА ИНФОРМАЦИОННЫЕ СИСТЕМЫ

    Виртуальный стенд-тренажер. Информационная безопасность. Тестирование на проникновение. Cyber kill chain. Компьютерная атака.

    В настоящей работе представлено описание виртуального стенда-тренажера для практической демонстрации возможностей тестирования на проникновение в условиях, приближенных к реальным. Блок-схемы реализации атаки с внешнего периметра и пример применения данного вида атаки соответствуют модели Cyber Kill-Chain. Разработанная топология корпоративной сети предприятия состоит из виртуальных машин на платформах операционных систем Windows и Linux. Макет стенда-тренажера может быть использован как в учебном процессе подготовки и переподготовки обучающихся по направлению «Информационная безопасность», так и для тренинга по пентесту технических специалистов в сфере информационных технологий.

    МАКЕТ-СТЕНДА-ТРЕНАЖЕРА-ДЛЯ-ИМИТАЦИИ-АТАК

    Загрузить документ

  • Выявление и эксплуатация SQL-инъекций в приложениях

    SQL-инъекция – это атака, при которой злоумышленником производится вставка вредоносного кода в строки, передающиеся на сервер СУБД для синтаксического анализа и выполнения. Успешная реализация данной атаки позволяет обойти систему безопасности приложения и получить доступ к конфиденциальной информации, которая содержится в БД, а также к функциональным возможностям СУБД и в некоторых случаях – доступ к операционной системе сервера, на котором функционирует СУБД.

    Как следствие, злоумышленник получает доступ к конфиденциальной информации, содержащейся в БД, и доступ к командам операционной системы сервера СУБД, тем самым делая его плацдармом для последующих атак других серверов и приложений, расположенных в корпоративной сети организации.

    Как правило, SQL-инъекции рассматривают применительно к web-приложениям, на самом деле данным уязвимостям подвержены любые клиент-серверные и сервис-ориентированные приложения, работающие с СУБД.

    Выявление-и-эксплуатация-SQL-инъекций-в-приложениях

    Загрузить документ

  • Использование виртуальных лабораторных стендов для обучения программированию задач промышленной автоматизации

    Виртуальные лабораторные стенды. Промышленная автоматизация. Среда разработки LabVIEW. Язык Рефлекс.

    В докладе представлен метод создания виртуальных лабораторных стендов для обучения программированию управляющих алгоритмов в области промышленной автоматизации. Предлагаемый подход направлен на повышение эффективности процесса обучения программированию ПЛК, позволяет исключить из рассмотрения рутинные вопросы физического моделирования и сконцентрироваться на концептуальном уровне создания управляющих алгоритмов.

    Виртуальный лабораторный стенд, реализуемый программно на базе среды разработки LabVIEW, представляет собой законченное приложение, включающее визуальную и поведенческую имитацию технологического объекта, а также средства создания управляющего алгоритма с возможностью запуска его на исполнение. В качестве языка программирования использован язык Рефлекс (также известный как «Си с процессами»). Исполнение управляющих алгоритмов реализовано на основе интерпретатора языка Python.

    Использование-виртуальных-лабораторных-стендов-1

    Загрузить документ

  • МЕТОДИКА СОЗДАНИЯ ВИРТУАЛЬНЫХ ЛАБОРАТОРНЫХ СТЕНДОВ В ОБЛАСТИ ПРОГРАММИРОВАНИЯ УПРАВЛЯЮЩИХ СИСТЕМ

    Виртуальные лабораторные стенды. Курсы промышленной автоматизации. Концепция виртуального лабораторного стенда. LabVIEW.

    При изучении языков программирования, ориентированных на создание управляющих алгоритмов, теоретические знания должны подкрепляться лабораторно-практическими занятиями по решению типовых задач из области промышленной автоматизации на стендах-тренажерах. Однако такие стенды громоздки, требуют серьезных финансовых затрат на создание и поддержку их в работоспособном состоянии, а ошибки, допускаемые студентами-практикантами во время работы, часто приводят к выходу стендов из строя.


    В этих условиях наиболее перспективный способ организации практических занятий по курсам промышленной автоматизации должен быть основан на использовании программных имитаторов – виртуальных лабораторных стендов (ВЛС). В Институте автоматики и электрометрии СО РАН было предложено создавать ВЛС на базе пакета LabVIEW и языка Рефлекс. Однако на настоящее время создано ограниченное число ВЛС, а процесс создания ВЛС унифицирован частично.


    В этих условиях унификация всего процесса разработки ВЛС позволила бы просто и быстро создать набор ВЛС, обеспечить его пополнение и сопровождение.


    В статье приводится концепция виртуального лабораторного стенда, формулируются требования к методике создания и работе со стендом, приводится несколько выбранных сценариев, моделирующих типовые ситуации, возникающие при решении задач промышленной автоматизации, и рассматривается реализация этих сценариев в ВЛС.

    Методика-создания-виртуальных-лабораторных-стендов

    Загрузить документ