На кафедре "Управление информационной и кибернетической безопасностью" (УИКБ) уделяется постоянное внимание изучению результатов научных исследований по повышению защищенности информационной и кибернетической безопасности компьютерных систем и внедрению их в учебный процесс.
Искусство разработки приложений должно сопровождаться умением организовать ежедневные операции для поддержки работы этих приложений. Через открытый доступ к управлению web-приложением, количество хакерских атак на такие программы очень велика.
Одним из самых распространенных векторов атак на пользователей веб-ресурса (как обычных клиентов так и владельцев и ответственных за ресурс) является XSS атаки.
XSS (англ. Cross-Site Scripting - «межсайтовый скриптинг») заключается во введении на веб-страницы JavaScript-кода, который не был предусмотрен разработчиками, такой код будет выполняться каждый раз, когда пользователь открывает страницу.
На кафедре у студентов есть возможность собственноручно исследовать и протестировать на практике данный вектор атаки и связанные с ним уязвимости веб-приложений.
Для проведения тестирования используется онлайн-лаборатория на базе OWASP Juice Shop.
Для примера: Выявить уязвимость к XSS в лабораторном ВЕБ-приложении можно на странице с поиском, введя в поле поиска <script> alert ("XSS") </ script> и нажав кнопку поиска. ВЕБ-приложение с некорректной обработкой введенных данных, воспринимает введен запись как часть кода и отражает ее для корисутвача.
Рассмотреные вопросы используются в учебных дисциплинах кафедры: "Аудит систем защиты информации", "Организационное обеспечение защиты информации", "Управление безопасностью информационных сетей".
В следующий раз в новостях планируется ознакомление с рекомендациями по использованию Score Board, анализу JavaScript кода и провоцированию ошибок в работе веб-приложения для обнаружения новых уязвимостей.
Важное предупреждение: используйте полученные знания только с добрыми намерениями!
Справка
XSS (межсайтовый скриптинг) – одна из разновидностей атак на веб-системы, которая подразумевает внедрение вредоносного кода на определенную страницу сайта и взаимодействие этого кода с удаленным сервером злоумышленников при открытии страницы пользователем.
Термин с английского расшифровывается как Cross-Site Scripting, но при этом он получил аббревиатуру XSS, чтобы не было путаницы с CSS (каскадные таблицы стилей).
*****
