Файл: Особенности алгоритмизации при разработке WEB-приложений (Основные этапы web разработки).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 28.03.2023

Просмотров: 145

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Что включает в себя пентест

  • Тест на проникновение в сеть:
  1. выявлении уязвимостей сетевого и системного уровня;
  2. определение неправильных конфигураций и настроек;
  3. выявление уязвимости беспроводной сети;
  4. мошеннические услуги;
  5. отсутствие надежных паролей и наличие слабых протоколов.
  • Тест на проникновение приложений:
  1. выявление недостатков прикладного уровня;
  2. подделка запросов;
  3. применение злонамеренных скриптов;
  4. нарушение работы управления сеансами;
  5. и т.п.
  • Тест на физическое проникновение:
  1. взлом физических барьеров;
  2. проверка и взлом замков;
  3. нарушения работы и обход датчиков;
  4. вывод из строя камер видеонаблюдения;
  5. и т.д.
  • Тестирование на проникновение устройств (IoT):
  1. выявление аппаратных и программных недостатков устройств;
  2. брутфорс слабых паролей;
  3. определение небезопасных протоколов, API и каналов связи;
  4. нарушение в конфигурации и многое другое.

Какие существуют виды пентестов

  • Пентест "белый ящик" - в данном испытании на проникновении пентестеру будет предоставлена некоторая информация о реализованной структуре безопасности организации. Так же, этот метод может быть реализован совместно с ИТ-командой организации и командой тестирования на проникновение;
  • Пентест "черный ящик" (или же - "слепой тест") - в этом случае, имитируется действия реального злоумышленника, поскольку специалисту или команде, не предоставляют никакой существенной информации, кроме названия и базовых данных для общего представления о работе компании;
  • Скрытый пентест (также известный, как "двойной слепой") - в этой ситуации, о существовании тестирования пера может знать лишь малая часть сотрудников организации (1-2 человека), в том числе ИТ-специалисты и специалисты по безопасности, которые будут реагировать на атаки не обладают информацией о существующей проверке. Для такого вида тестов, очень важно пентестеру или команде иметь соответствующий документ, что бы избежать проблем с правоохранительными органами, в случае должного реагирования со стороны службы безопасности;
  • Внешний пентест - атака "этическим" хакером, которая осуществляется против внешних серверов или устройств организации, такие, как их веб-сайт и сетевые серверы. Цель состоит в том, чтобы определить, может ли злоумышленник проникнуть в систему дистанционно и как далеко, если все-таки может;
  • Внутренний пентест - имитация атаки осуществляется авторизованным пользователем со стандартными правами доступа, что позволяет определить, какой ущерб может нанести сотрудник, имеющий какие-то личные счеты по отношению к руководству.

Этапы проведения пентеста

  1. Сбор информации - поиск данных об организации и сотрудниках в открытых источниках, социальных сетях, на форумах и блогах;
  2. Поиск технической базы - определение существующих ресурсов, приложений и технических средств на предприятие;
  3. Анализ уязвимостей и угроз - обнаружение уязвимостей в системах безопасности и приложениях с применением набора инструментов и утилит, как коммерческих, так и разработанных непосредственно в компании пентестеров;
  4. Эксплуатация и обработка данных - имитация реальной кибератаки для получения сведений о любых уязвимостях с дальнейшим анализированием;
  5. Формирование отчета - оформление и презентация выводов выполненного пентеста с предложениями по улучшению существующей системы безопасности.

Зачем требуется проводить пентест

Тестирование на проникновение показывает реальную картину существующей угрозы в системе безопасности и определяет уязвимости организации к ручным атакам. Проведения пентеста на регулярной основе позволит определить технические ресурсы, инфраструктуру, физические и кадровый арсенал содержащие в себе слабые аспекты, которые требуют развития и усовершенствования. Именно, по той же причине, по которой Вы обращаетесь к доктору для ежегодной проверки здоровья, имеет определенный смысл обратиться к высококвалифицированным консультантам по безопасности для проведения тестирования безопасности. Конечно, можно сказать, что Вы абсолютно здоровы, тем не менее, специалист может провести тесты, чтобы обнаружить опасности, о которых, возможно, Вам даже неизвестно. В конечном счете, тестирование на проникновение - элемент необходимый для обеспечения безопасности Вашей организации.

Список использованной литературы

  1. Агальцов, В.П. Базы данных. В 2-х т. Т. 2. Распределенные и удаленные базы данных: Учебник / В.П. Агальцов. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 272 c.
  2. Аткинсон Л. MySQL. Библиотека профессионала - СПб: Вильямс, 2014. - 624 c.
  3. Бен-Ган И., Microsoft SQL Server 2008. Основы T-SQL. - СПб:БХВ-Петербург, 2011. - 432с.
  4. Бритов Г., Осипова Т. Моделирование бизнес-процессов. - М.:LAP, 2014. – 124 с.
  5. Виейра Р.Программирование баз данных Microsoft SQL Server 2008. Базовый курс / Р. Виейра - Диалектика М., 2011. - 812 с.
  6. Гамма Э., Хелм Р., Джонсон Р., Влиссидес Дж. Приемы объектно-ориентированного проектирования. Паттерны проектирования. - СПб.:Питер, 2015. – 368 с.
  7. Голицына, О.Л. Базы данных: Учебное пособие / О.Л. Голицына, Н.В. Максимов, И.И. Попов. - М.: Форум, 2012. - 400 c.
  8. Грофф Д., Вайнберг П., Оппель Э. SQL. Полное руководство. - СПб.: Вильямс, 2014. - 960с.
  9. Гудсон Д., Стюард Р. Практическое руководство по доступу к данным. - СПб.:БХВ-Петербург, 2013. – 304 с.
  10. Гурвиц Г. Microsoft Access 2010. Разработка приложений на реальном примере. - СПб.: БХВ-Петербург, 2010. - 497с.
  11. Давыдова Е. М. Базы данных Учеб. пособие для вузов / Е. М. Давыдова, Н. А. Новгородова. - 3-е изд., перераб. и доп. - Томск : В-Спектр, 2012. - 128 с.
  12. Дейт К.Дж. Введение в системы баз данных. - К.: Диалектика, 2012. - 360 c.
  13. Дунаев В.В. Базы данных. Язык SQL для студента – Издательство: БХВ, 2013. - 196 с.
  14. Дюваль Поль М. Непрерывная интеграция. Улучшение качества программного обеспечения и снижение риска - СПб: Вильямс, 2013. - 497 c.
  15. Илюшечкин В. Основы использования и проектирования баз данных. Учебник. - М.:Юрайт, 2014. - 214с.
  16. Исаев Г. Проектирование информационных систем. Учебное пособие. - М.: Омега-Л, 2015. - 432с.
  17. Карпова, И.П. Базы данных: Учебное пособие / И.П. Карпова. - СПб.: Питер, 2013. - 240 c.
  18. Кириллов, В.В. Введение в реляционные базы данных.Введение в реляционные базы данных / В.В. Кириллов, Г.Ю. Громов. - СПб.: БХВ-Петербург, 2012. - 464 c.
  19. Кит Т. Томпсон Автоматизация продаж. Умный подход. - М.: Вершина, 2016 - 272 с.
  20. Коваленко В. Проектирование информационных систем. - М.: Форум, 2012. - 320с.
  21. Кузин, А.В. Базы данных: Учебное пособие для студ. высш. учеб. заведений / А.В. Кузин, С.В. Левонисова. - М.: ИЦ Академия, 2012. - 320 c.
  22. Кузнецов С. Базы данных. - М.: Academia, 2012. - 496с.
  23. Лычкина Н. Имитационное моделирование экономических процессов. - М.:Инфра-М, 2012. - 256с.
  24. Малыхина М. Базы данных. Основы, проектирование, использование. - СПб.: БХВ-Петербург, 2012. - 528с.
  25. Марков А.С., Лисовский К.Ю. Базы данных. Введение в теорию и методологию: Учебник. – М.: Финансы и статистика, 2015. – 512 с.
  26. Миков А. Информационные процессы и нормативные системы в IT. Математические модели. Проблемы проектирования. Новые подходы. - М.: Либроком, 2013. - 256с.
  27. Набатов Д. Правовая защита баз данных и прав ее создателей по законодательству РФ. - М.:LAP, 2014. - 72с.
  28. Наумов А.Н., Вендров А.М., Иванов В.К. и др. Системы управления базами данных и знаний - М.: Финансы и статистика, 2014. - 352 c.
  29. Озкарахан Э. Машины баз данных и управление базами данных. - М.: Мир, 2013. - 551 c.
  30. Пирогов, В.Ю. Информационные системы и базы данных: организация и проектирование: Учебное пособие / В.Ю. Пирогов. - СПб.: БХВ-Петербург, 2014. - 528 c.
  31. Редько В.Н., Бассараб И.А. Базы данных и информационные системы. - М.: Знание, 2015. - 602 c.
  32. Степанов В. Информационные технологии управления продажами и маркетингом. - М.: LAP Lambert Academic Publishing, 2013. - 284 с.
  33. Советов, Б.Я. Базы данных: теория и практика: Учебник для бакалавров / Б.Я. Советов, В.В. Цехановский, В.Д. Чертовской. - М.: Юрайт, 2013. - 463 c.
  34. Тоу Дэн Настройка SQL - СПб: Питер, 2013. - 539 c.
  35. Туманов В.Е. Основы проектирования реляционных баз данных - М.: Бином, 2012. - 420 c.
  36. Уорден К. Новые интеллектуальные материалы и конструкции. Свойства и применение; М.: Техносфера, 2012. - 456 c.
  37. Уткин В., Балдин К. Информационные системы в экономике. - М.: Academia, 2012. - 288с.
  38. Фейерштейн С., Прибыл Б. Oracle PL/SQL для профессионалов - СПб: Питер, 2012. - 540 c.
  39. Фуфаев, Э.В. Базы данных: Учебное пособие для студентов учреждений среднего профессионального образования / Э.В. Фуфаев, Д.Э. Фуфаев. - М.: ИЦ Академия, 2012. - 320 c.
  40. Хаббард Дж. Автоматизированное проектирование баз данных - М.: Мир, 2014. - 453 c.
  41. Шаймарданов Р.Б. Моделирование и автоматизация проектирования структур баз данных - М.: Юнити, 2016. - 469 c.