Файл: Руководство пользователя для разработанной системы. Пятый раздел приводит данные по информационной безопасности приложения.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 23.11.2023

Просмотров: 151

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.


Таким образом, можно сделать вывод о том, что разработанная система имеет положительный экономический эффект.

Разработанный программный продукт может быть использован для ведения бухгалтерского учёта компьютерного и офисного оборудования.

6 Анализ информационной безопасности приложения

6.1 Выявление угроз

В настоящее время существует явно выраженная тенденция к усилению значимости обеспечения должного уровня информационной безопасности систем связи и управления различной принадлежности и уровня подчиненности. При этом актуальность проблематики информационной безопасности определяется как переносом акцента в противоборстве различных сторон в информационную область.

Для выявления угроз информационной системы необходимо понять какие из всех видов возможных угроз являются наиболее критичными для данной системы.

Исходя из того, что наше приложение написано на Flutter то стоит выявлять угрозы, которые могут быть использованы как на Android приложение, так и на Web приложение. Так как в приложении используется Firebase, то нужно исключить ситуации с SQL инъекциями, так как Firebase использует NoSQL модель. Само приложение тоже может прекратить работу на устройстве. После выявления угроз необходимо узнать какие возможные причины возникновения проблем.

Основными источниками внутренних отказов приложения являются:

  • нарушение от установленных правил эксплуатации;

  • вредоносное программное обеспечение;

  • отказы программного аппаратного обеспечения.

Были выявлены типовые угрозы для мобильных приложений, заключающие в себя:

  • наличие отладочного кода;

  • отсутствие проверок входящих данных;

  • разрешения в файле манифеста.

После работы с приложением пользователь оставляет в нем свои данные. Исходя из этого можно выделить угрозу конфиденциальности информации.

Основными источниками отказов Web-приложения являются:

  • XSS инъекции;

  • LDAP инъекции;

  • незащищенная авторизация;

  • небезопасные прямые ссылки на объекты;

  • неправильная настройка безопасности;

  • подделка межсайтовых запросов (CSRF);

  • непроверенные перенаправления.


6.2 Основные методы и средства защиты от выявленных угроз

На стороне мобильных устройств необходимо использовать криптографические возможности устройств, шифрование критичных данных и при необходимости возможность удаленной очистки данных.

Проводить анализ защиты приложения, который поможет выявить возможные утечки критичных данных и некорректность использования шифрования.

Для защиты приложения от вредоносного программного обеспечения необходимо использовать программные средства защиты и повышать осведомленность, а также использовать приложения, только скачанные из проверенных источников.

Защита от XSS и LDAP будет фильтрация входящих данных от пользователей.

Так же поможет не возвращать HTML-теги клиенту. Это дает дополнительное преимущество защиты от внедрения HTML, аналогичная атака, при которой злоумышленник внедряет простой HTML-контент.

Защита от доступа к объектам являются сессионные параметры для обозначения пользователя и игнорирование параметров передаваемых через CGI.

Защита от CSRF является хранение секретного токена в скрытом поле формы, которое недоступно со стороннего сайта.

6.3 Межсайтовые сценарии

Межсайтовые сценарии (XSS) — это уязвимость системы безопасности, которая позволяет злоумышленнику размещать сценарии на стороне клиента (браузера) на веб-страницах.

Данный вид атак направлен на веб-приложения, которые отображают вводимые ранее пользователями данные. Вместо попытки получения контроля над базой данных, путем ввода вредоносного кода, злоумышленник пытается атаковать код самого веб-приложения, внедряя в него вредоносные скрипты, после выполнения которых может произойти кража пользовательских данных.

Типичный пример XSS – добавление скрипта в комментарий или запись в гостевую книгу. С помощью этой атаки даже можно передавать куки с сайта в качестве параметра на какой-то другой вредоносный сайт [7].

Так как запросы в сценариях могут отправляться на другие домены, но ответ не может быть прочитан, в соответствии с политикой механизма безопасности CORS (Cross-origin resource sharing), придумали этот механизм.



Суть атаки — если человек не может с другого домена получить данные, то он размещает вредоносный скрипт прямо в домене сайта, делает инъекцию вредоносного скрипта на доверенную веб-страницу, и тогда из домена уже может делать запрос внутри него и получать данные пользователя.

Для защиты от этой атаки можно использовать следующие приемы:

  • модификация заголовка content-security-policy;

  • модификация заголовка x-xss-protection.


6.4 Межсайтовая подделка запросов

Это такой тип атаки, при которой пользователь заходит на какой-либо вредоносный сайт, и этот сайт отправляет запросы на хороший сайт, на котором пользователь зарегистрирован, и который он недавно посещал. Может случится такое, что информации об авторизации на хорошем сайте все еще остается в куки. Тогда вполне может быть совершено и какое-то вредоносное скрытое действие.

Атака может быть реализована путем включения ссылки или сценария в веб-страницу, с которой происходит переход на вредоносный сайт, считающий, что пользователь прошел авторизацию. Далее злоумышленник может получить авторизационные куки хорошего сайта и с ними отправить ему запрос, а тот проверив куки ничего не заподозрит.

Риску подвергаются веб-приложения, которые выполняют действия, основанные на данных от доверяемых или авторизованных пользователей без требования от пользователя подтвердить конкретное действие. Пользователь, который авторизуется с помощью куки его веб-браузера может невольно направить HTTP-запрос на сайт, который доверяет этому пользователю, вызвав тем самым нежелательные действия.

6.5 Вывод по разделу

В разделе было уделено внимание анализу информационной безопасности разработанного кроссплатформенного приложения и некоторым методам защиты от уязвимостей.

При разработке обязательно следует учитывать аспекты безопасности и проанализировать уязвимости, через которые возможна реализация угроз, и которые действуют на веб-приложение в виде отказов или снижения его работоспособности. Самые популярные виды атак и способы защиты от них разработанного веб-приложения были рассмотрены.

В случае с личными данными пользователя не нужно беспокоиться о их защите, так как защиту предоставляет Firebase. Таким образом, можно сделать вывод о том, что личные данные пользователя максимально защищены в разработанном кроссплатформенном приложении и при его использовании ему не угрожает опасность вредоносных атак злоумышленников.


Заключение

В рамках дипломного проекта был разработан Интернет-сервис для инвентаризации компьютерного и офисного оборудования кафедры вуза.

Для достижения поставленной цели решены следующие задачи:

  • проведен анализ аналогичных решений, выявлены их преимущества и недостатки;

  • определены основные функции разрабатываемого интернет-сервиса;

  • определены наиболее подходящие технологии для создания интернет-сервиса;

  • разработна серверная часть, включающая в себя основную логику осуществляющую хранение данных различных рабочих процессов в базе данных, обработку данных и использование;

  • проведено тестирование интернет-сервиса;

  • выполнено экономическое обоснование разработки.

В результате проделанной работы разработан сервис, представляющий из себя сервер и кроссплатформенное клиентское приложение. Для достижения поставленной цели были реализованы следующие задачи:

  • разработана архитектура программного средства;

  • реализовано наличие нескольких ролей в программном средстве;

  • настроены сервисы HotChocolate и IdentityServer;

  • подключены сервисы и пакеты для выполнения поставленных задач.

Так же было проведено экономическое обоснование.

Результаты соответствуют заявленным требованиям. Проверена работоспособность модулей приложения и их связи с удаленными сервисами. Проведена проверка качества кода каждого компонента в соответствии с современными стандартами качества и рекомендациями к ним.

Данное приложение будет интересно пользователям, желающим сэкономить собественное время, на ведении бухгалтерного учёта.

Список использованных источников

1 Наполи, Марко Л. Beginning Flutter: A Hands On Guide to App Development [Текст] – Wiley, 2019 – 453 c. – Дата доступа: 15.03.2020

2 Firebase docs [Электронный ресурс] / электронный документ – Режим доступа: www.firebase.doc.org – Дата доступа: 02.04.2020

3 Виндмилл, Э. Flutter in Action [Текст] – Manning, 2017 – 97 c. – Дата доступа 17.03.2020

4 pub.dev [Электронный ресурс]: документация. – Режим доступа: www.pub.dev/documentation/ – Дата доступа: 05.03.2020.

5 Замметти, Ф Practical Flutter [Текст] – Apress, 2019 – 295 c. – Дата доступа 07.03.2020