XS
SM
MD
LG
Державний університет телекомунікацій

Адреса:
03110, Україна
м. Київ, вул. Солом'янська, 7
Контактна інформація:
Державний університет телекомунікацій

Про практику із дослідження захищеності ВЕБ-додатків у спеціальних, тестових лабораторіях – на кафедрі УІКБ

10:48, 08-06-2020

На кафедрі “Управління інформаційною та кібернетичною безпекою” (УІКБ) приділяється постійна увага вивченню результатів наукових досліджень по підвищенню захищенності   інформаційної та кібернетичної безпеки  комп'ютерних систем і  упровадженню їх в навчальний процес.

Мистецтво розробки додатків повинне супроводжуватись умінням організувати щоденні операції для підтримки роботи цих додатків. Через відкритий доступ до керування web-додатком, кількість хакерських атак на такі програми дуже велика.

У багатьох організація Web-додатки використовуються як критично важливі системи, які повинні щодня обслуговувати багатомільйонні транзакції. Однак справжня цінність Web-сайтів повинна оцінюватися на основі потреб кожної організації.

Створення класифікації загроз безпеки Web-додатків є важливою подією для розробників додатків, фахівців у галузі безпеки, виробників програмних продуктів та інших сторін, які займаються безпекою Web. На основі класифікації надалі можуть бути створені методики обстеження додатків, рекомендації з розробки додатків з урахуванням безпеки, вимоги до продуктів і служб.

Визначення версій додатків використовується зловмисником для отримання інформації про використовувані сервером і клієнтом операційних систем, Web-серверів  і браузерів. Зазвичай подібні атаки здійснюються шляхом аналізу різної інформації, що надається Web-сервером, наприклад:

  • Особливості реалізації протоколу HTTP;
  • Заголовки HTTP-відповідей;
  • Використовувані сервером розширення файлів (. Asp або. Jsp);
  • Значення Cookie (ASPSESSION і т.д.);
  • Повідомлення про помилки;
  • Структура каталогів і використовуване угоду про імена (Windows / Unix);
  • Інтерфейси підтримки розробки Web-додатків (Frontpage / WebPublisher);
  • Інтерфейси адміністрування сервера (iPlanet / Comanche);
  • Визначення версій операційної системи.

Сьогодні на сайтах, присвячених інформаційній безпеці, постійно з'являються повідомлення про виявлення нових вразливостей в програмному забезпеченні веб-серверів. Варто відзначити, що чим популярніше те чи інше програмне забезпечення, тим частіше для нього знаходять нові уразливості. Веб-сервери постійно піддаються безлічі самих різноманітних небезпек. Причому найсерйознішу загрозу становлять для них хакери і віруси.

Для визначення версій клієнтських додатків зазвичай використовується аналіз HTTP-запитів (порядок слідування заголовків, значення User-agent і т.д.).

Уразливості веб-додатків є одним з найбільш важливих моментів при аналізі та оцінці ступеня безпеки при тестуваннях на проникнення у комп'ютерні системи. Деякі області такого тестування вимагають наявності домашньої мережі або комп'ютера для проведення тестування, але створення тестового веб-сайту для вивчення безпеки веб-додатків і вимагає трохи іншого підходу. Для вивчення проблем злому веб-додатків і для створення безпечного тестового оточення дуже добре підходить інструмент, який називається OWASP Juice Shop.

Глибина і різноманітність веб-технологій надають хакерам безліч цілей для атак. Існує велика кількість мов розмітки, за допомогою якої створюють графічну складову веб-сайтів, скриптові мови, що обробляють взаємодію з «фронтендом» (призначеним для користувача інтерфейсом), мови, що керують даними на «бекенді» (з боку сервера), системи управління базами даних, серверні технології, які роблять так, щоб сайти в Інтернеті були завжди онлайн. У кожної з цих складових є свої уразливості і кожну з них можна використовувати.

Одним з найпростіших способів початку аналізу веб-додатка є перегляд HTML-коду конкретної сторінки.

Для цього потрібно скористатися функцією «Переглянути вихідний код сторінки» вашого веб-браузера. Зазвичай вона доступна в розділі «Інструменти розробника» або в аналогічному меню. Нижче наведено один приклад такого роду. Тут сам HTML-код не надає нам ніяких можливостей для атаки, але ось список JavaScript-файлів, на які посилається сторінка в тегах «script», говорить нам про те, що «під капотом» сайту використовується деяка функціональність, що дає можливість для атаки.

Далі в коді можна помітити посилання на інші сторінки. Деякі з них показані в головному меню сторінки, але інші, такі як сторінка «score-board» - ні.

Виявлення такого посилання може допомогти подальшому розумінню структури веб-сайту, а також допоможе виявити вразливості, які повинні були бути закритими.

Розглянуті питання використовуються в навчальних дисциплінах кафедри: “Аудит систем захисту інформації”, “Організаційне забезпечення захисту інформації”, “Управління безпекою інформаційних мереж”.

Наступного разу у новинах планується ознайомлення із рекомендаціями по використанню Score Board, аналізу JavaScript коду та провокуванні помилок у роботі веб-додатку для виявлення нових вразливостей.

Важливе попередження: використовуйте отримані знання лише з добрими намірами!

Довідка

Веб-додаток (часом називають  - оглядач Інтернету) — додаток, в якому клієнтом виступає браузер, а сервером — вебсервер.

IIS (Internet Information Services, до версии 5.1 — Internet Information Server) — набір серверів для декількох служб Інтернету від компанії Microsoft. IIS поширюється з Windows NT. Основним компонентом IIS є веб-сервер, який дозволяє розміщувати  сайти в Інтернеті. IIS підтримує протоколи HTTP, HTTPS, FTP, POP3, SMTP, NNTP. За даними компанії Netcraft на червень 2015 року, майже 22 млн сайтів обслуговувалися веб-сервером IIS, що становить 12,32% від загального числа веб-сайтів.

Веб-сервер – називають як програмне забезпечення, яке виконує функції веб-сервера, так і безпосередньо комп'ютер, на якому це програмне забезпечення працює. Це сервер, який  приймає HTTP-запити від клієнтів, зазвичай веб-браузерів, і видає їм HTTP-відповіді і, як правило, разом з HTML-сторінкою, зображенням, файлом, медіа-потоком або іншими даними.

Клієнт - зазвичай веб-браузер, який передає веб-серверу запити на отримання ресурсів, позначених URL-адресами.

Ресурси - це HTML-сторінки, зображення, файли, медіа-потоки або інші дані, які необхідні клієнту. У відповідь веб-сервер передає клієнту запитані дані. Цей обмін відбувається по протоколу HTTP.

*******

детальніше

Шановні випускники шкіл та їх батьки!

Кожний випускник школи мріє про престижну високооплачувану роботу та професійну кар’єру, що дозволить йому заробляти таку кількість грошей, яка надасть фінансову можливість здійснювати його бажання, бути фінансово незалежним від батьків і у майбутньому їм допомагати.

Всі батьки бажають, щоб їх діти були щасливими та успішними, а фінансові можливості сім’ї дозволили оплатити навчання, та після закінчення навчання влаштувались на престижну, високооплачувану роботу у провідну компанію в Україні або за кордоном.

Для того, щоб почати здійснювати свої мрії випускнику школи потрібно вибрати затребувану на ринку праці професію, яка буде актуальна протягом багатьох років, поступити в університет, який може надати необхідні теоретичні знання та практичні уміння і навики, щоб бути висококваліфікованим спеціалістом та відповідати вимогам роботодавців на ринку праці і завдяки цьому влаштуватись на роботу.

В Державному університеті телекомунікацій за пять останніх років кількість спеціальностей затребуваних на ринку праці збільшено з 8 до 24. На сьогодні в університеті відкриті всі затребувані на ринку праці спеціальності в галузі інформаційних технологій, телекомунікацій, кібербезпеки та економіки.

Тільки в Державному університеті телекомунікацій в освітньо-професійній програмі кожної кафедри закладено, що навчання по спеціальності починається з 1-го курсу, а не з 3-го курсу, на відміну від інших університетів. Заняття проводяться з урахуванням компетенцій компаній-партнерів кафедр. Половина занять, відповідно вимог компаній, проводиться практично на сучасному обладнанні останнього покоління, програмному забезпеченні та апаратно-програмних комплексах, які використовуються компаніями-партнерами кафедр у своїй роботі. Це дозволяє студенту оволодіти не тільки теоретичними знаннями, а й практичними уміннями і навиками, які необхідні для роботи в ІТ компаніях. Тільки в нашому університеті посилено вивчається англійська мова, необхідна для роботи в IT галузі. На 1-му та 2-му курсах англійська мова проводиться 3 пари занять на тиждень, для вивчення технічної англійської мови. А на 3, 4, 5 курсах по всім дисциплінам, які викладаються кафедрами, 20% занять викладачами кафедр проводяться англійською мовою з урахуванням своєї тематики підготовки. Це надає переваги випускникам нашого університету по отриманню необхідних знань для успішної роботи в компанії на відміну від інших університетів.

Крім того, навчання в Державному університеті телекомунікацій має значні переваги серед інших навчальних закладів України тому, що тільки випускники Державного університету телекомунікацій мають можливість отримати сертифікати компаній, з якими кафедрами заключені договори про співпрацю, таких договорів в університеті 134. В освітньо-професійних програмах кожної кафедри, в межах навчального процесу, сплановано отримання сертифікату компанії-партнера кафедри, що дає випускнику університету право працевлаштування на перше робоче місце в компанії.

В Державному університеті телекомунікацій 25 січня 2016 року відкритий перший, серед університетів Києва, сертифікаційний центр Пірсон Вує, який дозволяє пройти сертифікацію по любій із 148 компаній світу, які домовились між собою про створення сертифікаційного центру Пірсон Вує, і працевлаштуватися в одній із 175 країн, де ці компанії працюють.

Студенти нашого університету мають можливість отримання сертифікату, а значить права на робоче місце в будь якій із 148 компаній світу. Ці 148 компаній домовились між собою, що будуть приймати на роботу, для виключення можливості прийому на роботу непідготовлених випускників університетів, тільки тих, хто пройде здачу заліків в компанії Пірсон Вує і отримає сертифікат на право працевлаштування в одну з цих компаній, по якій проводилась здача екзаменів для отримання сертифікату. Завдяки системі навчання закладеній в офіційно-професійній програмі кожної кафедри 1246 студентів у 2018 році та 1270 у 2019 році отримало сертифікати, це говорить про те, що така кількість студентів отримала перше робоче місце.

Пропонуємо ознайомитись з перевагами навчання в Державному університеті телекомунікацій і що починаючи з 2015 року вже зроблено і на даний час робиться в Державному університеті телекомунікацій для здійснення мрій випускників шкіл та їх батьків.

 

ПЕРЕВАГИ НАВЧАННЯ В ДЕРЖАВНОМУ УНІВЕРСИТЕТІ ТЕЛЕКОМУНІКАЦІЙ

Державний університет телекомунікацій - провідний навчальний заклад України в ІТ-галузі. У квітні 2016 року Університет був прийнятий до Міжнародного Союзу електрозв’язку, структурного підрозділу Організації об’єднаних націй, штаб квартира якого знаходиться у м. Женева, Швейцарія.

Міжнародний союз електрозв’язку існує понад 155 років. Основним його завданням є розробка стандартів та рекомендацій в галузі інформаційних технологій.

Членство у Міжнародному союзі електрозв’язку відкрило Університету доступ до програм академічної мобільності, розвитку спільної науково-дослідної діяльності, участі у розробці міжнародних стандартів галузей за якими здійснюється підготовка студентів в Університеті, що забезпечило інтеграцію Університету в міжнародний освітній простір та підвищило авторитет Університету на міжнародному рівні.

Навчальний процес в Університеті організований таким чином, що випускники Університету є висококваліфікованими спеціалістами і провідні ІТ-компанії, які працюють в Україні,при працевлаштуванні надають пріоритет саме нашим випускникам.

Переважна більшість компаній, які працюють в Україні є міжнародними і являються потенційними роботодавцями для випускників нашого Університету. Власники компаній, таких як: Сіsco, Juniper, Apple, Microsoft, IBM знаходяться в Америці. Основною метою власників усіх компаній є отримання максимального прибутку. Тому, під час влаштування на роботу, від майбутніх працівників вимагають відмінних теоретичних знань та практичних вмінь та навичок,які вони повинні будуть ефективно використовувати для вирішення робочих задач.

Для того, щоб студент повноцінно оволодів теоретичними знаннями і практичними навиками майбутньої професії і мав фахову перевагу на ринку праці, серед випускників інших вузів, в Університеті втілено інноваційний зміст навчання.

Інноваційний зміст навчання передбачає, що студентів ми зобов’язані навчати тому, чому потрібно і як потрібно, теоретично і практично відповідно компетенціям компаній-партнерів кафедр.

У період з 2013 по 2019 роки в Університеті в три рази збільшено кількість спеціальностей підготовки з 8 до 24, які є перспективними і затребуваними на ринку праці. З 1 березня 2020 року створено кафедру Штучного інтелекту, на якій відкрито двадцять четверту сучасну та перспективну спеціальність. Кафедра буде готувати спеціалістів, які зможуть вирішувати алгоритмічно складні задачі, аналізувати дані великих обсягів, розробляти алгоритми обробки відео, зображень, текстів, програмувати та керувати роботами.

Кафедрами Університету заключено 134 договори про співпрацю з компаніями, які є потенційними роботодавцями наших випускників.

Це дозоляє готувати наших студентів відповідно компетенціям компаній-роботодавців, проводити практики на їх базі та зі знижкою купувати для навчального процесу сучасне обладнання, програмне забезпечення, апаратно-програмні комплекси для забезпечення якісної підготовки студентів Університету.

Для того щоб студент повноцінно оволодів теоретичними знаннями та практичними уміннями і навиками майбутньої професії, в нашому Університеті навчання по спеціальності починається з 1-го курсу, а не з 3-го курсу, на відміну від інших університетів. Заняття проводяться з урахуванням компетенцій компаній-партнерів кафедр. Половина занять проводиться практично на сучасному обладнанні останнього покоління, програмному забезпеченні та апаратно-програмних комплексах, які використовуються компаніями-партнерами кафедр у своїй роботі. Це дозволяє студенту оволодіти не тільки теоретичними знаннями, а й практичними уміннями і навиками, які необхідні для роботи в ІТ компаніях.

Кафедрами Університету організовуються і проводяться начальні практики у компаніях партнерах кафедр – потенційних роботодавців:

  • на 2-му курсі - ознайомча практика, для отримання первинних знань про професію;
  • на 3-му курсі - виробнича практика, для набуття студентом теоретичних знань і практичних умінь виконання майбутніх службових обов’язків;
  • на 4-му курсі - переддипломна практика, для набуття практичного застосування та удосконалення набутих в Університеті теоретичних знань і навиків на виробництві компаній-партнерів кафедр.

Це дає можливість студенту краще зрозуміти суть спеціальності, за якою він навчається, та набути практичного досвіду роботи у компаніях і показати себе з кращого боку, щоб компанія була зацікавлена взяти його на роботу.

Відмінна підготовка студентів Університету стала можливою завдяки укомплектуванню кафедр високопрофесійними викладачами та кращими працівниками компаній-партнерів кафедр. Вони надають нашим студентам теоретичні знання та практичні уміння і навики їх використання при роботі на обладнанні останнього покоління, апаратно-програмних комплексах та програмному забезпеченні компаній партнерів кафедр – потенційних роботодавців.

Для якісного проведення практичних занять в Університеті створено сучасну навчально-матеріальну базу. У 2013 році в Університеті було лише 2 навчальні лабораторії, а на сьогодні - 49 навчальних лабораторій укомплектованих сучасним обладнанням, апаратно-програмними комплексами та програмним забезпечення яке використовується у компаніях партнерах-кафедр. Міністерством освіти і науки України навчально-матеріальна база Університету визнана однією з найкращих в Україні. Про це свідчить гран-прі у номінації «Інноваційний розвиток навчально-лабораторної бази відповідно до вимог науково-технічного прогресу», яким був нагороджений Університет у 2019 році Міністерством освіти і науки України та Президентом Національної академії наук України

Всі навчальні класи університету укомплектовано сучасними потужними комп’ютерами, відео проекторами з екранами, інтерактивними дошками, і підключені до мережі Інтернет за допомогою точок доступу Wi-Fi та проводової комп’ютерної мережі. Університет має повне покриття Wi-Fi, так в любій точці університету є безкоштовний доступ до мережі Інтернет, завдяки чому студенти можуть використовувати у своєму навчанні такі електронні ресурси Університету, як: Електронна бібліотека Державного університету телекомунікацій, дистанційне навчання MOODLE, Електронний розклад занять.

В межах і поза межами навчального процесу по всім спеціальностям і спеціалізаціям підготовки студенти мають можливість отримати сертифікати компаній-партнерів кафедр. Сертифікат дає право на отримання першого високооплачуваного робочого місця.

У 2013 році в Університеті було тільки 2 сертифікованих курси навчання в межах навчального процесу, а поза межами навчального процесу не було зовсім. Так у 2018 році, кількість сертифікованих курсів в межах навчального процесу склала 64 та 40 поза межами навчального процесу. А в 2019 році кількість сертифікованих курсів в межах навчального процесу вже складала 65 та 44 поза межами навчального процесу.

Так в результаті навчання на курсах кількість студентів, які отримали сертифікати у 2018 році склала 1246, а у 2019 році – 1270 , це говорить про те, що всі ці студенти успішно працевлаштувались.

Підтвердженням цього є те, що у 2019 році Університет за рішенням Міністра освіти і науки України та Президента Національної академії наук України був нагороджений двічі гран-прі у номінації «Досягнення у працевлаштуванні випускників вищого навчального закладу».

Крім того, у складі Університету створений тестовий центр Пірсон ВУЕ (PearsonVUE). Це дозволяє проводити сертифікацію наших студентів за офіційно визнаними програмами тестування148 міжнародних компаній,серед яких такі відомі виробники інфо-комунікаційного обладнання і програмного забезпечення, як: Сіsco, Juniper, Huawei, ZTE, Apple, Microsoft, IBM та інші.

Сертифікати надають право отримати високооплачуване робоче місце у більш ніж 175 країнах світу де працюють ці компанії.

Під час проходження співбесіди при працевлаштуванні на роботу однією зважливих вимог більшості компаній є знання англійської мови, тому в Університеті втілена система поглибленого вивчення англійської мови, яка забезпечує засвоєння англійської мови за час навчання на рівні В2.

На 1-му та 2-му курсах англійська мова проводиться 3 пари занять на тиждень, для вивчення технічної англійської мови. А на 3, 4, 5 курсах по всім дисциплінам, які викладаються кафедрами, 20% занять викладачами кафедр проводяться англійською мовою з урахуванням своєї тематики підготовки.

Окрім навчального процесу велику увагу в Університеті приділено студентському дозвіллю. В Державному університеті телекомунікацій активно працює Студентське самоврядування.

Завдяки тісній співпраці адміністрації Університету та Студентської ради, систематично відбуваються засідання, на яких розглядаються пропозиції студентів, щодо покращення та зміни змісту навчання відповідно до вимог науково-технічного прогресу, компетенцій компаній-партнерів кафедр та розвитку галузі. Ці пропозиції включаються в план роботи адміністрації Університету і виконуються.

Так за пропозицією Студентської ради та адміністрацією Університету був побудований та обладнаний сучасний студентський центр в якому за планом студентської ради, проводяться різноманітні соціальні та культурні проекти.

Студентський центр,обладнаний сучасною аудіо системою для гучних студентських дискотек, мультимедійним обладнанням для вечірніх кінопереглядів, має безкоштовний WI-FI доступ до мережі Інтернет що дозволяє студентам проводити вільний від навчання час в соціальних мережах, онлайн кінотеатрах, здійснювати огляд спортивних матчів.

За пропозицією Студентської ради, в гуртожитку для наших студентів було відкрито тренажерну та фітнес зали, що дозволяє студентам підтримувати себе в тонусі та самовдосконалюватися.

Студентською радою Університету разом з студентськими радами інститутів організовано кураторство студентів 3 курсу над студентами 1 курсу. Кураторами призначаються студенти 3 курсу. Основною метою кураторської роботи є всебічна допомога,у вирішенні питань студентів-першокурсників.

Крім того в університеті здійснюється навчання за програмою підготовки офіцерів запасу. На період навчання студент отримує відстрочку від призиву на строкову військову службу, а після проходження навчання студенту присвоюється первинне військове звання молодшого лейтенанту запасу, яке дає можливість влаштуватись на роботу в у різні силові структури.

Також можна зазначити про збільшення зацікавленості Університетом потенційними студентами про що свідчить збільшення відвідувачів сайту Університету за рік з 189283 у 2014 році до 868187 у 2019 році. А кожного дня сайт Університету у 2019 році відвідувало більше 2500 чоловік. Це є доказом зацікавленості молоді навчатись в нашому Університеті.

Саме в нашому Університеті ви можете здобути якісну професійну вищу освіту за доступною ціною і отримати право на перше високооплачуване робоче місце!

Увага! Шановні абітурієнти!
Звертаємо Вашу увагу, що під час подачі електронних заяв на вступ до Університету на місце державного замовлення, якщо Ви не поступите на місце державного замовлення, для того щоб мати право вступу на місце за кошти фізичних та/або юридичних осіб, Вам обов’язково необхідно в електронній заяві поставити відмітку перед таким текстом:
«Претендую на участь у конкурсі на місце державного або регіонального замовлення і на участь у конкурсі на місця за кошти фізичних та/або юридичних осіб у разі неотримання рекомендації за цією конкурсною пропозицією за кошти державного або місцевого бюджету (за державним або регіональним замовленням)».
Якщо Ви так не зробите, то в разі Вашого не поступлення на місце державного замовлення, Ви не будете мати права вступу на місце за кошти фізичних та/або юридичних осіб. Так прописано в умовах вступу і в електронній заяві на вступ на навчання.
Увага! Шановні абітурієнти!
В нашому університеті за зверненням студента з 1 курсу дозволяється помісячна оплата за навчання!
Бажаєте дізнаватись про особливості вступу у 2020 році?
Підписуйтесь на спільноти спеціальності "125 - Кібербезпека" та першим отримуйте новини, сповіщення про важливі події, підготовчі курси, дні відкритих дверей та багато цікавого.
Читайте також

Про кафедру

Кафедра Управління інформаційною та кібернетичною безпекою

Отримати консультацію

Ваш запит на зворотній дзвінок отримає завідуючий кафедрою
Надіслати запит

Абітурієнту

Спеціалізація: Управління інформаційною безпекою

Фахівці з Управління інформаційною безпекою – це еліта інформаційної безпеки, менеджери безпеки інформації вищої ланки. Ці фахівці розуміються як з техничних питань захисту інформації, так й з питань організації роботи колективу, добре розуміють управлінські, законодавчі та економічні аспекти захисту інформації. До сфери специфічних знань та навичок спеціалізації відносяться: основні поняття кібернетичної безпеки, систем технічного захисту інформації, управління проектами, управління ризиками, нормативно-правова база діяльності, управління інцидентами, аудит інформаційної безпеки, інформаційне протиборство, менеджмент та психологія управління.

Спеціалізація: Управління інформаційною безпекою

Фахівці з Управління інформаційною безпекою – це еліта інформаційної безпеки, менеджери безпеки інформації вищої ланки. Ці фахівці розуміються як з техничних питань захисту інформації, так й з питань організації роботи колективу, добре розуміють управлінські, законодавчі та економічні аспекти захисту інформації. До сфери специфічних знань та навичок спеціалізації відносяться: основні поняття кібернетичної безпеки, систем технічного захисту інформації, управління проектами, управління ризиками, нормативно-правова база діяльності, управління інцидентами, аудит інформаційної безпеки, інформаційне протиборство, менеджмент та психологія управління.

Переглядів: 442