Міністерство освіти і науки України
Харківський національний університет радіоелектроніки
Факультет Інфокомунікацій .
Кафедра Інфокомунікаційної інженерії імені В.В. Поповського
ЗВІТ
з лабораторного заняття №1
з дисципліни
Основи аналізу вразливостей та етичний хакінг
Тема заняття: «Основи аналізу вразливостей та етичний хакінг моделі безпеки ASP.NET»
Харків 2020 р.
МЕТА РОБОТИ
Метою роботи є дослідження, аналіз вразливостей та етичний хакінг моделі безпеки ASP.NET. Дослідження рівнів безпеки даної моделі Виконати завдання та відповісти на питання, оформити звіт.
ХІД ВИКОНАННЯ
Навести приклади потенційних загроз програмного забезпечення в банківській сфері.
Не дотримання жорсткої політики безпеки для складності паролів користувачі.
DDOS атаки на сервери банків для припинення роботи банку з завданням йому матеріальної шкоди.
Не використання надійного з’єднання з шифруванням каналів, або його блокування, при якому з’єднання автоматично переходить у незахищене.
Помилки користувачів. Ненавмисні помилки користувачів, операторів, системних адміністраторів та іншого персоналу. Не використання автоматизації роботи персоналу та контролю за правильністю здійснюваних дій.
Слабке доведення або не доведення до користувачів правил безпечного користування банківським забезпеченням та правил інформаційної гігієни.
Навести приклади наслідків невиконання правил безпечного коду.
Використання правил безпечного коду запобігає випадкове впровадження вразливостей і забезпечує стійкість до впливу шкідливих програм і несанкціонованого доступу. Баги і логічні помилки є основною причиною появи вразливостей програмного забезпечення. Завдяки недотриманню цих правил в код може потрапити такі вразливості:
Слабкі паролі користувачів, якщо не задано мінімальний захист пароля.
Незахищений мережевий трафік, при якому частина або весь трафік передається напряму, без використання шифрування.
Виповнення коду з завищеними правами, при якому проста сторінка в браузері має доступ до даних на всьому комп’ютері.
SQL-ін’єкція, при якій можна ввести код та отримати конфіденційну інформацію з бази даних.
Переповнення цілочисленних перемінних. При яких цінна інформація може бути втрачена через малий розмір для зберігання даних.
Навести приклад як може бути влаштована багаторівневий захист програмного забезпечення в банківській сфері.
Багаторівневий захист в банківській сфері потребує використання рівнів безпеки, для подолання яких зловмиснику необхідно затратити зусилля більші ніж вигоду, що він отримає. Це називається моделлю рівнів, в якій кожен з механізмів відповідає за перевірку деяких умов захисту. Якщо зловмисник подолає один рівень, то зіткнеться з наступним рівнем. Використовуються такі рівні безпеки:
Аутентифікація, перевіряє справжність користувача шляхом порівняння введеного їм пароля або іншим шляхом.
Авторизація, надання певній особі права на виконання, в додатках ASP.NET для цього використовується запозичення прав, при якому виконується код від імені іншого користувача
Конфіденційність., використовується для захисту комунікацій. Передбачає застосування SSL, крім того, SSL реалізує цифрові підписи для забезпечення гарантії цілісності.
Цілісність, забезпечує неможливість зміни даних ніким під час передачі.
Як може бути використана функція делегування прав і написання блоку авторизації?
Функція делегування прав може використовуватись в складних ASP.NET системах для надання доступу користувачам під іншим маркером доступа до видалених ресурсів. Це може використовуватись для роботи з ресурсами з даними інших облікових записів, з іншими параметрами безпеки та списками ACL.
Висновок
ASP.NET - технологія створення веб-додатків і веб-сервісів від компанії Майкрософт. Вона є складовою частиною платформи Microsoft .NET.
В ході даної роботи я дослідив та проаналізував вразливості моделі безпеки ASP.NET. Дослідив рівнів безпеки даної моделі.
Завдання на лабораторну роботу виконано у повному обсязі.