2413

УДК 004.9

Платов А.Ю. / Системы анализа конфигурации web-приложений [Электронный ресурс]: учеб.- метод. пос. / А.Ю. Платов; Нижегор. гос. архитектур. - строит. ун-т – Н. Новгород: ННГАСУ, 2016. – 11 с.– 1 электрон. опт. диск (CD-RW).

В настоящем учебно-методическом пособии по дисциплине «Системы анализа конфигурации webприложений» даются конкретные рекомендации учащимся для освоения как основного, так и дополнительного материала дисциплины и тем самым способствующие достижению целей, обозначенных в учебной программе дисциплины. Цель учебно-методического пособия — это помощь в усвоении лекций, в подготовке к практическим занятиям.

Учебно-методическое пособие предназначено для обучающихся в ННГАСУ по дисциплине «Системы анализа конфигурации web-приложений» по направлению подготовки 09.04.03 Прикладная информатика, профиль Прикладная информатика в аналитической экономике.

Учебно-методическое пособие ориентировано на обучение в соответствии с календарным учебным графиком и учебным планом по основной профессиональной образовательной программе направления 09.04.03 Прикладная информатика, профиль Прикладная информатика в экономике, утверждённым решением учёного совета ННГАСУ от 02.09.2016 г. (протокол № 1).

© А.Ю. Платов, 2016 © ННГАСУ, 2016

2

3

1. Общие положения

1.1 Цели изучения дисциплины и результаты обучения

Основными целями освоения учебной дисциплины «Системы анализа конфигурации webприложений» являются:

анализ адекватности механизмов безопасности Web-приложения;

- определение уязвимостей текущей конфигурации Web-приложения;

- оценка уровня защищённости Web-приложения;

- выбор мероприятий, повышающих уровень защищённости Web-приложения.

Впроцессе освоения дисциплины студент должен

Знать:

основные классы ПО для анализа конфигурации Web-приложений;

основное содержание стандартов ISO 15408, ISO 17799, руководящих документов Гостехкомиссии.

Уметь:

проводить анализ конфигурации Web-приложения с помощью специализированных программ;

проводить анализ защищённости в соответствии со стандартами ISO и РД Гостехкомиссии.

Владеть:

методикой анализа защищённости Web-приложения;

навыками формулировнаия требований к конфигурации Web-приложения в соответствии с РД Гостехкомиссии.

Данная дисциплина позволит магистрантам не только систематизировать полученные теоретические знания, укрепить исследовательские навыки, но и даст возможность ориентироваться в новом предметном поле экономической информатики.

1.2 Содержание дисциплины

Материал дисциплины сгруппирован по следующим разделам:

1. Понятие защищённости Web-приложения

Определение защищённости. Факторы защищённости.Понятие уязвимости и бреши по CVE. Основные уязвимости Web-приложения по OWASP.

2. Нормативная база для оценки защищённости.

Три части общих критериев ISO 15408. 10 ключевых средств контроля ISO 17799. Состав РД Гостехкомиссии. Классы защищённости.

3. Методика анализа защищённости.

Состав методов типовой методики анализа защищённости. Состав исходных данных для анализа. Дополнительная документация. Проектная документация. Анализ конфигурации средств защиты внешнего периметра. Методы тестирования системы защиты.

4

2. Методические указания по подготовке к лекциям

2.1 Общие рекомендации по работе на лекциях

Лекция является главным звеном дидактического цикла обучения. Ее цель — формирование основы для последующего усвоения учебного материала. В ходе лекции преподаватель в устной форме, а также с помощью презентаций передает обучаемым знания по основным, фундаментальным вопросам изучаемой дисциплины.

Назначение лекции состоит в том, чтобы доходчиво изложить основные положения изучаемой дисциплины, ориентировать на наиболее важные вопросы учебной дисциплины и оказать помощь в овладении необходимых знаний и применения их на практике.

Личное общение на лекции преподавателя со студентами предоставляет большие возможности для реализации образовательных и воспитательных целей.

При подготовке к лекционным занятиям студенты должны ознакомиться с презентаций, предлагаемой преподавателем, отметить непонятные термины и положения, подготовить вопросы с целью уточнения правильности понимания. Рекомендуется приходить на лекцию подготовленным, так как в этом случае лекция может быть проведена в интерактивном режиме, что способствует повышению эффективности лекционных занятий.

2.2Общие рекомендации при работе с конспектом лекций

Входе лекционных занятий необходимо вести конспектирование учебного материала. Конспект помогает внимательно слушать, лучше запоминать в процессе осмысленного записывания, обеспечивает наличие опорных материалов при подготовке к семинару, зачету, экзамену.

Полезно оставить в рабочих конспектах поля, на которых делать пометки из рекомендованной литературы, дополняющие материал прослушанной лекции, а также подчеркивающие особую важность тех или иных теоретических положений.

Вслучае неясности по тем или иным вопросам необходимо задавать преподавателю уточняющие вопросы. Следует ясно понимать, что отсутствие вопросов без обсуждения означает в большинстве случаев неусвоенность материала дисциплины.

2.3Контрольные вопросы

1.Провести анализ конфигурации приложения на базе Apache-PHP.

2.Определить соответствие Web-приложения классу защищённости по РД Гостехкомиссии.

3.Составить требования к конфигурации Web-приложения.

4.Пользуясь типовой методикой, провести анализ защищённости Web-приложения.

5.Перечислить 10 ключевых средств контроля защищённости по ISO 17799

6.Перечислить требования к функциональности согласно ISO 15408.

7.Провести анализ сетевого периметра.

8.Провести анализ защищённости сети с помощью сетевого сканера.

6

3. Методические указания по подготовке к практическим занятиям

3.1Общие рекомендации по подготовке к практическим занятиям

Входе подготовки к практическим занятиям необходимо изучать основную литературу, знакомиться с дополнительной литературой, а также с новыми публикациями в периодических изданиях: журналах, газетах и т.д. При этом необходимо учесть рекомендации преподавателя и требования учебной программы.

Всоответствии с этими рекомендациями и подготовкой полезно дорабатывать свои конспекты лекции, делая в нем соответствующие записи из литературы, рекомендованной преподавателем и предусмотренной учебной программой. Целесообразно также подготовить тезисы для возможного выступлений по всем учебным вопросам, выносимым на практическое занятие.

При подготовке к занятиям можно также подготовить краткие конспекты по вопросам темы. Очень эффективным приемом является составление схем и презентаций.

Готовясь к докладу или реферативному сообщению, желательно обращаться за методической помощью к преподавателю. Составить план-конспект своего выступления. Продумать примеры с целью обеспечения тесной связи изучаемой теории с реальной жизнью. Своевременное и качественное выполнение самостоятельной работы базируется на соблюдении настоящих рекомендаций и изучении рекомендованной литературы. Студент может дополнить список использованной литературы современными источниками, не представленными в списке рекомендованной литературы, и в дальнейшем использовать собственные подготовленные учебные материалы при написании курсовых и дипломных работ.

3.2Примеры задач для практических занятий

Пример №1

Составить требования к конфигурации Web-приложения.

Пример №2

Определить соответствие Web-приложения классу защищённости по РД Гостехкомиссии.

Пример №3

Провести анализ конфигурации приложения на базе Apache-PHP.

7

4. Методические указания по организации самостоятельной работы

4.1 Общие рекомендации для самостоятельной работы

Самостоятельная работа студентов является основным способом овладения учебным материалом в свободное от обязательных учебных занятий время.

Целями самостоятельной работы студентов являются:

-систематизация и закрепление полученных теоретических знаний и практических умений студентов;

-углубление и расширение теоретических знаний;

-формирование умений использовать нормативную, правовую, справочную документацию и специальную литературу;

-развитие познавательных способностей и активности студентов:

-формирования самостоятельности мышления, способностей к саморазвитию, самосовершенствованию и самореализации.

Запланированная в учебном плане самостоятельная работа студента рассматривается как связанная либо с конкретной темой изучаемой дисциплины, либо с подготовкой к курсовой, дипломной работе, а также к защите ВКР. В данном разделе рассматривается только самостоятельная работа первого вида.

Самостоятельная работа выполняется в два этапа: планирование и реализация. Планирование самостоятельной работы включает:

-уяснение задания на самостоятельную работу;

-подбор рекомендованной литературы;

-составление плана работы, в котором определяются основные пункты предстоящей подготовки. Составление плана дисциплинирует и повышает организованность в работе.

На втором этапе реализуется составленный план. Реализация включает в себя:

-изучение рекомендованной литературы;

-составление плана (конспекта) по изучаемому материалу (вопросу);

-взаимное обсуждение материала.

Необходимо помнить, что на лекции обычно рассматривается не весь материал. Оставшаяся восполняется в процессе самостоятельной работы. В связи с этим работа с рекомендованной литературой обязательна.

Работа с литературой и иными источниками информации включает в себя две группы приемов: техническую, имеющую библиографическую направленность, и содержательную. Первая группа – уяснение потребностей в литературе; получение литературы; просмотр литературы на уровне общей, первичной оценки; анализ надежности публикаций как источника информации, их относимости и степени полезности. Вторая – подробное изучение и извлечение необходимой информации.

Для поиска необходимой литературы можно использовать следующие способы:

-поиск через систематический каталог в библиотеке;

-просмотр специальных периодических изданий;

-использование материалов, размещенных в сети Интернет.

Для того, чтобы не возникало трудностей понимания текстов учебника, монографий, научных статей, следует учитывать, что учебник и учебное пособие предназначены для студентов и магистрантов, а монографии и статьи ориентированы на исследователя. Монографии дают обширное описание проблемы, содержат в себе справочную информацию и отражают полемику по тем или иным дискуссионным вопросам. Статья в журнале кратко излагает позицию автора или его конкретные достижении в иссле-

8

довании какой-либо научной проблемы.

В процессе взаимного обсуждения материала закрепляются знания, а также приобретается практика в изложении и разъяснении полученных знаний, развивается речь.

При необходимости студенту следует обращаться за консультацией к преподавателю.

Составление записей или конспектов позволяет составить сжатое представление по изучаемым вопросам. Записи имеют первостепенное значение для самостоятельной работы студентов. Они помогают понять построение изучаемого материала, выделить основные положения, проследить их логику.

Ведение записей способствует превращению чтения в активный процесс. У студента, систематически ведущего записи, создается свой индивидуальный фонд подсобных материалов для быстрого повторения прочитанного. Особенно важны и полезны записи тогда, когда в них находят отражение мысли, возникшие при самостоятельной работе.

Можно рекомендовать следующие основные формы записи: план, конспект, тезисы, презентация. План – это схема прочитанного материала, краткий (или подробный) перечень вопросов, отра-

жающих структуру и последовательность материала. Подробно составленный план вполне заменяет конспект.

Конспект – это систематизированное, логичное изложение материала источника. Объем конспекта не должен превышать 10 страниц. Шрифт Times New Roman, кегль 14, интервал 1,5. Список литературы должен состоять из 5-8 источников, по возможности следует использовать последние издания учебных пособий и исследований.

Тезисы — это последовательность ключевых положений из некоторой темы без доказательств или с неполными доказательствами. По объему тезисы занимают одну страницу формата А4 или одну – две страницы в ученической тетради. В конце тезисов студент должен сделать собственные выводы.

Презентации по предложенной теме составляются в программе Power Point или Impress. Количество слайдов должно быть не менее 15 и не превышать 20 слайдов. Кроме текста на слайдах можно создавать схемы и таблицы. Шрифт должен быть читаемым, например, шрифт черного цвета на светлом фоне или светлый шрифт на темном фоне. Также шрифт не должен быть слишком мелким. В слайдах указываются только основные тезисы, понятия и нормы.

4.2Темы для самостоятельного изучения

1.Статистика базы NVD.

2.Анализаторы уязвимостей.

3.Станадарты безопасности.

4.3Учебно-методическое обеспечение самостоятельной работы

1.Информационная безопасность: курс лекцийАртемов А. В. Орел : Межрегиональная Академия безопасности и выживания (МАБИВ), 2014.

2.Информационная безопасность в корпоративной сети Федотов А. М. Проблемы безопасности и чрезвычайных ситуаций : науч. информ. сб. / ВИНИТИ. – 2008. – № 2. - С. 88-102. ,

3.Информационная безопасность и защита информации : учебное пособие. Башлы П. Н., Бабаш А. В., Баранова Е. К.Москва: Евразийский открытый институт, 2012.

4.PHP 5 : как самостоятельно создать сайт любой сложности. Зольников Дмитрий Станиславович. М.: НТ Пресс, 2006.

5.Web-программирование и базы данных: Учебный практикум. Буренин С. Н.: Московский гуманитарный университет, 2014.

9

6.Проектирование и разработка web-приложений : учебное пособие. Тузовский А. Ф. Томск : Томский политехнический университет, 2014.

7.База данных уязвимостей и берешй (CVE) cve.mitre.org

8.Критические уязвимости Web www.owasp.org

9.Удалённые эксплоиты http://insecure.org/sploits/website.windows.1.1e.html

10.National Vulnerability Database NDV https://nvd.nist.gov/home.cfm

11.Cenzic Inc. Application Vulnerability Trends Report, https://www.google.ru - ссылки на pdf до-

кументы с отчетом Cenzic.

12.Конфигурация PHP и запрет автоматической регистрации.

13.Инъекция исходного кода: http://cwe.mitre.org/data/definitions/98.html

15.Фильтарция ввода http://habrahabr.ru/post/143035/

16.Не инициализированные переменные http://cwe.mitre.org/data/definitions/665.html

17.Browser Security Handbook: https://www.google.ru - ссылки на pdf документы

18.Средства тестирование Web-безопасности https://www.owasp.org/index.php/OWASP_WebScarab_Project.

19.Ratproxy: https://code.google.com/archive/p/ratproxy/

20.Сканер уязвимостей: http://www.acunetix.com/vulnerability-scanner/

21.Rips - Сканер уязвимостей: http://rips-scanner.sourceforge.net

22.PhpSpecInfo анализатор конфигурации: http://phpsec.org/projects/phpsecinfo/index.html

23.http://cwe.mitre.org/data/definitions/94.html.

4.4Задания для самостоятельной работы

1.Разработать алгоритм анализа уязвимости.

2.Описать механизмы защиты от SQL-инъекции.

10