🚀 Вийди на новий рівень крипто-торгівлі!
Easy Trade Bot — автоматизуй свій прибуток уже зараз!

Ми пропонуємо перелік перевірених прибуткових стратегій на такі пари як BTC, DOT, TRX, AAVE, ETH, LINK та інші. Ви можете підключити автоматичну торгівлю на своєму акаунті Binance або отримувати торгові рекомендації на email у режимі реального часу. Також можемо створити бота для обраної вами монети.

Всі результати торгів ботів доступні для перегляду у зручних таблицях на головній сторінці. Швидко, динамічно та прозоро!

Перейти до бота + 30$ бонус

Аналіз вихідного коду за допомогою Fortify SCA

Інформація про навчальний заклад

ВУЗ:
Національний університет Львівська політехніка
Інститут:
О
Факультет:
КН
Кафедра:
Не вказано

Інформація про роботу

Рік:
2024
Тип роботи:
Лабораторна робота
Предмет:
СП

Завантажити

2

Частина тексту файла (без зображень, графіків і формул):

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» / Лабораторна робота №5 З дисципліни “Безпека програмного забезпечення” Тема: «Аналіз вихідного коду за допомогою Fortify SCA» Мета роботи: Ознайомитися із можливостями Fortify on Demand DAST для проведення динамічного аналізу вебдодатків. Виконання роботи Вразливість Опис вразливості Вразливий компонент Рівень тяжкості  Cross-Site Scripting: Reflected Cross-Site Scripting: Reflected – це вразливість, яка дозволяє зловмиснику виконувати скрипти на браузері користувача через введені дані, що використовуються без перевірки на вразливому вебсайті. http://zero.webappsecurity.com:80/faq.html?question=2%3c%73%43%72%49%70%54%3e%61%6c%65%72%74%28%35%33%32%37%34%29%3c%2f%73%43%72%49%70%54%3e Критичний  Often Misused: Login Вразливість Often Misused: Login приводить до можливості несанкціонованого доступу до облікових даних через недбале використання та недостатню захищеність вхідних даних. http://zero.webappsecurity.com:80/login.html Високий  Insecure Transport Insecure Transport вразливість полягає в можливості зловмисника перехопити інформацію, що передається по нешифрованих каналах зв'язку, таких як HTTP. http://zero.webappsecurity.com:80/login.html Високий  Web Server Misconfiguration: Unprotected File Вразливість Web Server Misconfiguration: Unprotected File дозволяє несанкціонованим користувачам отримувати доступ до непотрібних файлів на сервері через неправильну конфігурацію. http://zero.webappsecurity.com:80/admin/WS_FTP.LOG Середній  Cross-Frame Scripting Cross-Frame Scripting вразливість дозволяє зловмисникам вбудовувати зловісний код на іншій вебсторінці для отримання доступу до конфіденційної інформації користувачів. http://zero.webappsecurity.com:80/ Середній  HTML5: Overly Permissive CORS Policy HTML5 має вразливість у політиці CORS, яка може дозволити зловмисникам отримувати доступ до конфіденційних даних через вебсторінки. http://zero.webappsecurity.com:80/ Низький  Web Server Misconfiguration: Server Error Message Web Server Misconfiguration: Server Error Message виявляється вразливістю, яка дозволяє зловмисникам отримувати доступ до деталей про помилки сервера, що може призвести до розкриття конфіденційної інформації. http://zero.webappsecurity.com:80/<script>alert('TRACK');</script> Низький  Poor Error Handling: Unhandled Exception Погана обробка помилок може призвести до виникнення непередбачених виключень, що може призвести до аварійного завершення програми. http://zero.webappsecurity.com:80/admin/WS_FTP.LOG Низький  System Information Leak: Internal IP System Information Leak: Internal IP вразливість дозволяє зловмисникам отримувати доступ до внутрішньої IP-адреси системи, що може бути використано для атак в мережі. http://zero.webappsecurity.com:80/admin/WS_FTP.LOG Низький  Web Server Misconfiguration: Unprotected Directory Web Server Misconfiguration: Unprotected Directory відображається, коли вебсервер дозволяє доступ до конфіденційних файлів і тек без авторизації, що може призвести до витоку даних та порушення безпеки. http://zero.webappsecurity.com:80/backup/ Низький   В чому полягає особливість динамічного сканування додатків? Динамічне сканування додатків, також відоме як динамічне тестування безпеки додатків (DAST), — це практика кібербезпеки, яка зосереджена на оцінці безпеки вебзастосунків під час їх роботи. На відміну від статичного сканування застосунків, яке аналізує вихідний код і конфігураційні файли без виконання програми, динамічне сканування взаємодіє з робочим додатком для виявлення вразливостей в режимі реального часу. Особливість динамічного сканування полягає в тому, що воно здатне імітувати реальні сценарії атак, активно досліджуючи запущений застосунок на наявність вразливостей. Цей процес передбачає надсилання різних вхідних даних, таких як шкідливі дані або неочікувані дії користувача, до програми та спостереження за її поведінкою. Таким чином, динамічне сканування може виявити слабкі місця в безпеці, які можуть проявитися лише під час виконання, наприклад, помилки валідації вхідних даних, проблеми з керуванням сеансами або вразливості конфігурації під час виконання. Динамічне сканування особливо цінне для виявлення вразливостей, які можуть виникнути внаслідок взаємодії різних компонентів програми, а також тих, що залежать від конкретного середовища виконання. Цей підхід забезпечує більш комплексну оцінку стану безпеки програми, імітуючи дії потенційних зловмисників і виявляючи вразливості, які можуть бути неочевидними за допомогою лише статичного аналізу. Які переваги та недоліки динамічного сканування додатків? Переваги 1. Оцінка в реальному часі: Динамічне сканування оцінює додаток в реальному середовищі, забезпечуючи оцінку його стану безпеки в реальному часі. 2. Виявлення вразливостей під час виконання: Він виявляє вразливості, які можуть проявитися тільки під час виконання, наприклад, недоліки перевірки вхідних даних або проблеми з конфігурацією. 3. Імітація сценаріїв атак: Динамічне сканування імітує реальні сценарії атак, активно досліджуючи програму, пропонуючи розуміння того, як вона реагує на різні вхідні дані. Недоліки 1. Обмежена видимість коду: Динамічне сканування має обмежену видимість вихідного коду програми, що ускладнює виявлення певних типів вразливостей, які можна знайти лише за допомогою статичного аналізу. 2. Помилкові спрацьовування, негативні результати: Динамічне сканування може генерувати помилкові спрацьовування або негативні результати через динамічну природу програми, що ускладнює точне визначення вразливостей. 3. Ресурсомісткість: Динамічне сканування може бути ресурсомістким і може вплинути на продуктивність програми під час тестування. Висновки Під час виконання даної лабораторної роботи я ознайомився із можливостями Fortify on Demand DAST для проведення динамічного аналізу вебзастосунків.
Лабораторна робота СП
Антиботан аватар за замовчуванням
kakaduka

08.04.2025 12:04-

Копіювати посилання
Поскаржитись

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, увійдіть або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!
Нічого не вибрано
поділитись
0%

Оголошення від адміністратора

Антиботан аватар за замовчуванням

Подякувати Студентському архіву довільною сумою

Admin

26.02.2023 12:38

Дякуємо, що користуєтесь нашим архівом!

Вхід на сайт

Забули пароль?
Ще не зареєстровані? Зареєструватися

Поскаржитися на роботу

В полі повідомлення будь-ласка опишіть причину, яка спонукала Вас поскаржитися на роботу.

Лише залоговані користувачі можуть надсилати скарги на файли адміністрації архіву!