Інформаційна система забезпечення конфіденційності інформації

Abstract

Веб-програмування – розділ програмування орієнтований на розробку динамічних Інтернет додатків. Скрипти веб-програмування поділяються на 2 групи: клієнтські та серверні. Серверні скрипти виконуються сервером за запитом, що посилається клієнтським додатком (у даному випадку браузером). Клієнтські, відповідно - самим клієнтським додатком. Сторінки веб-сайтів описуються за допомогою мови гіпертекстової розмітки - html. Але оскільки ця мова відповідає всього лише за оформлення веб-сторінок, то задати з його допомогою яку-небудь динамічну дію неможливо. Саме для подібних випадків і існують клієнтські скрипти - спеціальні веб-сценарії, які дають можливість змінювати вміст html-сторінки без перезавантаження самої сторінки із сервера. Часто клієнтські скрипти вбудовуються прямо в html код сторінки і для їхнього виконання не потрібна установка якого-небудь додаткового програмного забезпечення. Все що потрібно - це браузер з підтримкою клієнтських скриптів. Всі сучасні інтернет-браузери (крім деяких старих версій) підтримують виконання розповсюджених клієнтських скриптів. До скриптів веб-програмування, призначених для створення клієнтських скриптів відносять Javascript, VBScript, ActionScript, що використовується в технології flash і SilverLight. Серверні скрипти виконуються сервером за запитом, що посилається клієнтським додатком (браузером). Без цих скриптів неможливо уявити собі гостьові книги, опитування Content management systems або інші програмні компоненти, які активно взаємодіють із базами даних. Припустимо на сайті є деяка захищена область, доступ до якої є тільки в деяких категорій користувачів, наприклад, адміністраторів. Для того щоб зайти в таку область, необхідно вказати свої дані: ім'я користувача й пароль, тобто авторизуватися. Тоді зміст, доступний авторизованому користувачеві, буде відрізнятися від змісту, видимого всім іншим. Як це відбувається? При натисканні кнопки «Увійти» на формі авторизації відбувається формування запиту веб-серверу. Сервер віддає керування серверному скрипту, що звертається до бази даних, знаходить там відповідний клієнтському запиту запис і обробляє його відповідно до сценарію. Таким чином, скрипт формує вміст сторінки залежно від отриманих даних, тобто динамічно, а користувач одержує тільки результат виконання скрипта - сформовану сторінку. До технологій веб-програмування, призначених для створення серверних скриптів відносять Php, Perl, ASP.NET, Ruby. Але як серверні так і клієнтські скрипти мають свої вразливі ділянки, тому задача створення інтелектуальної інформаційної системи захисту динамічних веб-сайтів є актуальною. Традиційні методи зниження уразливості безпеки програмного забезпечення, як правило, використовується після процесу розробки програмного забезпечення. Замість цього, це може бути зроблено на ранніх стадіях розвитку за допомогою методології Security Development Lifecycle (SDL безпеки). На стадії кодування життєвого циклу програмного забезпечення (SDLC), цикл розробки безпеки від Microsoft (SDL) рекомендує три практики в межах своєї фази реалізації. • Практика SDL 8: Використання затверджених засобів Команда розробників повинна вибрати і погодити перелік засобів та їх версій, які повинні бути використані в процесі розвитку. • Практика SDL 9: Відмова від небезпечних функцій Команда розробників не повинна використовувати небезпечні функції в їх програмному забезпеченні. Це відноситься до функцій, які були застарілими в мові програмування. • Практика SDL 10: Статичний аналіз Команда розробників повинна виконати статичний аналіз коду їх програмного забезпечення для того, щоб виявити потенційні уразливості. Метою магістерської кваліфікаційної роботи є розробка інтелектуальної системи системи захисту коду веб-сайтів від найбільш відомих на наш час вразливостей, які можуть відкрити доступ до конфіденційних даних. Для досягнення вищевказаної мети необхідно вирішити такі задачі: - проаналізувати основні види загрози безпеці веб-сайтів; - проаналізувати вимоги до системи та здійснити її проектування; - розробити систему, яка буде виявляти вразливості в заданому коді; - здійснити тестування системи; Об’єктом дослідження є процес функціонування інформаційної системи захисту для забезпечення надійної та безпечної роботи веб ресурсу. Предметом дослідження є методи забезпечення конфіденційності інформації в веб додатках. Результатом виконання магістерьскої роботи є завершена та готова до використання інтелектуальна система захисту веб-ресурсу від найбільш поширених типів вразливостей веб-сайтів. Практична цінність роботи полянає у розробленні інтелектуальної інформаційної системи захисту динамічних веб-сайтів

Web Programming is a branch of programming focused on developing dynamic Internet applications. Web programming scripts are divided into two groups: client-side and server-side. Server-side scripts are executed by the server upon a request sent by the client application (in this case, the browser). Client-side scripts, in turn, are executed by the client application itself. Web pages are described using the hypertext markup language, HTML. However, since this language is responsible only for the layout of web pages, it cannot be used to create any dynamic actions. This is precisely where client-side scripts come in – special web scripts that allow you to change the content of an HTML page without reloading it from the server. Often, client-side scripts are embedded directly in the HTML code of the page, and no additional software is needed for their execution. All you need is a browser that supports client-side scripts. All modern internet browsers (except some older versions) support popular client-side scripts. Scripts intended for creating client-side functionality include JavaScript, VBScript, and ActionScript used in Flash and Silverlight technology. Server-side scripts are executed by the server in response to a request sent by the client application (browser). Without these scripts, it would be impossible to imagine guestbooks, polls, Content Management Systems, or other software components that actively interact with databases. Suppose there is a certain protected area on a site accessible only to certain categories of users, such as administrators. To access such an area, one needs to provide their credentials: username and password, i.e., to authenticate. The content available to an authenticated user will differ from that visible to everyone else. How does this work? When the "Login" button is clicked on the authentication form, a request is generated for the web server. The server hands over control to a server-side script that accesses the database, finds the record corresponding to the client request, and processes it according to the script. Thus, the script generates the content of the page based on the received data, dynamically, and the user receives only the result of the script execution – the generated page. Technologies for creating server-side scripts include PHP, Perl, ASP.NET, and Ruby. Both server-side and client-side scripts have their vulnerable areas, so the task of creating an intelligent information protection system for dynamic websites is essential. Traditional methods of reducing software security vulnerabilities are generally used after the software development process. Instead, this can be done at earlier development stages through the Security Development Lifecycle (SDL) methodology. In the coding stage of the Software Development Lifecycle (SDLC), Microsoft's Security Development Lifecycle (SDL) recommends three practices within its implementation phase: • SDL Practice 8: Use Approved Tools The development team should choose and agree on a list of tools and their versions to be used in the development process. • SDL Practice 9: Avoid Unsafe Functions The development team should avoid using unsafe functions in their software. This applies to functions that are deprecated in the programming language. • SDL Practice 10: Static Analysis The development team should perform a static code analysis of their software to identify potential vulnerabilities. The objective of this master's thesis is to develop an intelligent code protection system for websites to counter the most well-known vulnerabilities that may expose confidential data. To achieve the above goal, the following tasks need to be addressed: • Analyze the main types of security threats to websites; • Analyze system requirements and carry out its design; • Develop a system that will detect vulnerabilities in the specified code; • Perform system testing. The object of research is the operation process of the information protection system to ensure the reliable and secure functioning of a web resource. The subject of research is the methods of ensuring information confidentiality in web applications. The result of the master’s thesis is a complete and ready-to-use intelligent protection system for web resources against the most common types of website vulnerabilities. The practical value of the work lies in the development of an intelligent information protection system for dynamic websites.