Сборники тезисов • Информационные и интеллектуальные системы и технологии • Технология программирования и защита информации
Сборник тезисов докладов конгресса молодых ученых. Электронное издание. – СПб: Университет ИТМО, 2016.
Разработка метода поиска web-уязвимостей при проведении аудита защищенности
УДК: 004.056
Аннотация:
Проведение аудита защищенности становится все более актуальным и востребованным. Старт-ап проекты, банки, крупные предприятия, промышленные заводы заинтересованы в безопасности своих продуктов, так как эксплуатация уязвимостей злоумышленниками может нарушить или остановить бизнес-процесс. Чаще всего, злоумышленники, а также пентестеры исследуют ресурс методом Black Box, так как у них нет никакой информации об используемых технологиях, версии ПО и они взаимодействуют с системой только посредством внешнего интерфейса. Целью работы стала автоматизация процесса проведения аудита защищенности, путем получения первоначальных сведений о системе, проверки ресурсов на уязвимости и генерации дерева, показывающее уровень знаний о системе на разных этапах аудита и составление связей между уязвимостями и объектами. Предложенный метод также позволит определить, сможет ли цепочка из некритичных уязвимостей повлиять на безопасность системы. В итоге, метод позволит аудитору ускорить процесс тестирования на проникновение, так как автоматизирует большую часть проверок.