SlideShare a Scribd company logo

воропаев_презентация

Download as PPT, PDF
I
Igor Voropaev
Presentations & Public Speaking
1 of 11
Дипломная работа Технологии защиты данных в системах дистанционного образования Выполнил: Воропаев И. С. КСиС-518 Руководитель: Хоренко А. С.
Предмет диплома • Возможные угрозы • Методы защиты • Встроенные возможности фреймворков • Библиотеки обработки данных • Дистанционное образование
Возможные атаки • CSRF • XSS • SQL-инъекции • Бесконтрольный доступ к ресурсам • Выполнение постороннего кода
Методы защиты • Фильтрация пользовательских данных • Шифрование данных • Система контроля доступа • Системы оповещения • Обновление ПО
Использованные технологии • Python • Web-framework Django • СУБД PostgreSQL • Шаблонизатор Django Template • Redis
Архитектура проекта
Средства проверки • Nikto2 • ZAP • Skipfish • Acunetix • NMap • Grabber
Результат первых тестов • Есть возможность встроить iframe • Загрузка файлов произвольного типа в поле редактора • Использование чисел для получения доступа к данным • Использование данных с других ресурсов • Возможность перебора пароля • Доступ к файлам cookie при помощи JavaScript
Проверка Moodle с настройками по умолчанию • Возможно эксплуатации атаки CSRF • Возможность просмотреть содержимое каталогов
Методы исправления • Добавление заголовка X-Frame-Options • Установка флага HttpOnly • Логирование попыток побора паролей и ограничение доступа • Расширенная проверка данных редактора • Использование защищенных cookie • Словесное формирование URL
Выводы • Рассмотрены виды угроз • Рассмотрены методы защиты • Выбор инструментов для реализации поставленных задач • Построение защищенных систем

Recommended

Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Дипломная работа: Адаптивные пользовательские интерфейсы банковских систем.
Дипломная работа: Адаптивные пользовательские интерфейсы банковских систем.Дипломная работа: Адаптивные пользовательские интерфейсы банковских систем.
Дипломная работа: Адаптивные пользовательские интерфейсы банковских систем.sky_in_eyes
 
Bekrenev_diploma
Bekrenev_diplomaBekrenev_diploma
Bekrenev_diplomaKhryashchev
 
Распознавание сокращений слов и словосочетаний
Распознавание сокращений слов и словосочетанийРаспознавание сокращений слов и словосочетаний
Распознавание сокращений слов и словосочетанийСпецсеминар "Искусственный Интеллект" кафедры АЯ ВМК МГУ
 
Интернет-магазин лотерейных билетов
Интернет-магазин лотерейных билетов Интернет-магазин лотерейных билетов
Интернет-магазин лотерейных билетов Fedor Virin
 
Present diplom
Present diplomPresent diplom
Present diplomalekseyxxxx
 
Diplom present
Diplom presentDiplom present
Diplom presentAlexandr Dzhumurat
 
алексеев дмитрий
алексеев дмитрийалексеев дмитрий
алексеев дмитрийmaksimsim
 

Recommended

Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Дипломная работа: Адаптивные пользовательские интерфейсы банковских систем.
Дипломная работа: Адаптивные пользовательские интерфейсы банковских систем.Дипломная работа: Адаптивные пользовательские интерфейсы банковских систем.
Дипломная работа: Адаптивные пользовательские интерфейсы банковских систем.sky_in_eyes
 
Bekrenev_diploma
Bekrenev_diplomaBekrenev_diploma
Bekrenev_diplomaKhryashchev
 
Распознавание сокращений слов и словосочетаний
Распознавание сокращений слов и словосочетанийРаспознавание сокращений слов и словосочетаний
Распознавание сокращений слов и словосочетанийСпецсеминар "Искусственный Интеллект" кафедры АЯ ВМК МГУ
 
Интернет-магазин лотерейных билетов
Интернет-магазин лотерейных билетов Интернет-магазин лотерейных билетов
Интернет-магазин лотерейных билетов Fedor Virin
 
Present diplom
Present diplomPresent diplom
Present diplomalekseyxxxx
 
Diplom present
Diplom presentDiplom present
Diplom presentAlexandr Dzhumurat
 
алексеев дмитрий
алексеев дмитрийалексеев дмитрий
алексеев дмитрийmaksimsim
 
презентація до диплому
презентація до дипломупрезентація до диплому
презентація до дипломуFil2020
 
Слайди до дипломної роботи
Слайди до дипломної роботиСлайди до дипломної роботи
Слайди до дипломної роботиVictoria Alieva
 
Презентация для дипломной работы
Презентация для дипломной работыПрезентация для дипломной работы
Презентация для дипломной работыСочинский институт Российского университета Дружбы народов
 
дипломная работа
дипломная работадипломная работа
дипломная работаRibintseva
 
Презентация к дипломной работе
Презентация к дипломной работеПрезентация к дипломной работе
Презентация к дипломной работеBekshanskiy
 
презентация на предзащиту и защиту вкр (пишем диплом-сами.рф)
презентация на предзащиту и защиту вкр (пишем диплом-сами.рф)презентация на предзащиту и защиту вкр (пишем диплом-сами.рф)
презентация на предзащиту и защиту вкр (пишем диплом-сами.рф)TalkaKvasova
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
72 - Spring. Создание абстрактного уровня
72 - Spring. Создание абстрактного уровня72 - Spring. Создание абстрактного уровня
72 - Spring. Создание абстрактного уровняRoman Brovko
 
разработка безопасного кода
разработка безопасного кодаразработка безопасного кода
разработка безопасного кодаAndrey Somsikov
 
Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложенияMaxim Krentovskiy
 
Безопасность Node.js / Илья Вербицкий (Независимый консультант)
Безопасность Node.js / Илья Вербицкий (Независимый консультант)Безопасность Node.js / Илья Вербицкий (Независимый консультант)
Безопасность Node.js / Илья Вербицкий (Независимый консультант)Ontico
 
68 - Spring. Функционал
68 - Spring. Функционал68 - Spring. Функционал
68 - Spring. ФункционалRoman Brovko
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCodeSolar Security
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9UISGCON
 
Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...
Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...
Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...Denis Kolegov
 
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...Positive Hack Days
 
Security testing
Security testingSecurity testing
Security testingMageCloud
 
Перспективные исследования и технологии
Перспективные исследования и технологииПерспективные исследования и технологии
Перспективные исследования и технологииAncud Ltd.
 
Эшелонированная оборона 2012
Эшелонированная оборона 2012Эшелонированная оборона 2012
Эшелонированная оборона 2012Alexander Dorofeev
 
Подход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеПодход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеKirill Ermakov
 

More Related Content

Viewers also liked

презентація до диплому
презентація до дипломупрезентація до диплому
презентація до дипломуFil2020
 
Слайди до дипломної роботи
Слайди до дипломної роботиСлайди до дипломної роботи
Слайди до дипломної роботиVictoria Alieva
 
дипломная работа
дипломная работадипломная работа
дипломная работаRibintseva
 
Презентация к дипломной работе
Презентация к дипломной работеПрезентация к дипломной работе
Презентация к дипломной работеBekshanskiy
 
презентация на предзащиту и защиту вкр (пишем диплом-сами.рф)
презентация на предзащиту и защиту вкр (пишем диплом-сами.рф)презентация на предзащиту и защиту вкр (пишем диплом-сами.рф)
презентация на предзащиту и защиту вкр (пишем диплом-сами.рф)TalkaKvasova
 

Viewers also liked (6)

презентація до диплому
презентація до дипломупрезентація до диплому
презентація до диплому
 
Слайди до дипломної роботи
Слайди до дипломної роботиСлайди до дипломної роботи
Слайди до дипломної роботи
 
Презентация для дипломной работы
Презентация для дипломной работыПрезентация для дипломной работы
Презентация для дипломной работы
 
дипломная работа
дипломная работадипломная работа
дипломная работа
 
Презентация к дипломной работе
Презентация к дипломной работеПрезентация к дипломной работе
Презентация к дипломной работе
 
презентация на предзащиту и защиту вкр (пишем диплом-сами.рф)
презентация на предзащиту и защиту вкр (пишем диплом-сами.рф)презентация на предзащиту и защиту вкр (пишем диплом-сами.рф)
презентация на предзащиту и защиту вкр (пишем диплом-сами.рф)
 

Similar to воропаев_презентация

Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
72 - Spring. Создание абстрактного уровня
72 - Spring. Создание абстрактного уровня72 - Spring. Создание абстрактного уровня
72 - Spring. Создание абстрактного уровняRoman Brovko
 
разработка безопасного кода
разработка безопасного кодаразработка безопасного кода
разработка безопасного кодаAndrey Somsikov
 
Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложенияMaxim Krentovskiy
 
Безопасность Node.js / Илья Вербицкий (Независимый консультант)
Безопасность Node.js / Илья Вербицкий (Независимый консультант)Безопасность Node.js / Илья Вербицкий (Независимый консультант)
Безопасность Node.js / Илья Вербицкий (Независимый консультант)Ontico
 
68 - Spring. Функционал
68 - Spring. Функционал68 - Spring. Функционал
68 - Spring. ФункционалRoman Brovko
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCodeSolar Security
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9UISGCON
 
Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...
Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...
Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...Denis Kolegov
 
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...Positive Hack Days
 
Security testing
Security testingSecurity testing
Security testingMageCloud
 
Перспективные исследования и технологии
Перспективные исследования и технологииПерспективные исследования и технологии
Перспективные исследования и технологииAncud Ltd.
 
Эшелонированная оборона 2012
Эшелонированная оборона 2012Эшелонированная оборона 2012
Эшелонированная оборона 2012Alexander Dorofeev
 
Подход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеПодход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеKirill Ermakov
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Alexey Kachalin
 
72 - Spring. Создание абстрактного уровня. Разбор д/з
72 - Spring. Создание абстрактного уровня. Разбор д/з72 - Spring. Создание абстрактного уровня. Разбор д/з
72 - Spring. Создание абстрактного уровня. Разбор д/зRoman Brovko
 
13 03-7 презентация для мгу
13 03-7 презентация для мгу13 03-7 презентация для мгу
13 03-7 презентация для мгуDimakoc
 

Similar to воропаев_презентация (20)

Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасности
 
72 - Spring. Создание абстрактного уровня
72 - Spring. Создание абстрактного уровня72 - Spring. Создание абстрактного уровня
72 - Spring. Создание абстрактного уровня
 
разработка безопасного кода
разработка безопасного кодаразработка безопасного кода
разработка безопасного кода
 
Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложения
 
Безопасность Node.js / Илья Вербицкий (Независимый консультант)
Безопасность Node.js / Илья Вербицкий (Независимый консультант)Безопасность Node.js / Илья Вербицкий (Независимый консультант)
Безопасность Node.js / Илья Вербицкий (Независимый консультант)
 
68 - Spring. Функционал
68 - Spring. Функционал68 - Spring. Функционал
68 - Spring. Функционал
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCode
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9Dmitriy Ponomarev - Thinking outside the box #uisgcon9
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
 
Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...
Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...
Общая модель аутентификации HTTP-сообщений на основе хэш-функций в веб-прилож...
 
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...
Общая модель аутентификации HTTP-сообщений на основе хэш- функций в веб-прил...
 
Security testing
Security testingSecurity testing
Security testing
 
Перспективные исследования и технологии
Перспективные исследования и технологииПерспективные исследования и технологии
Перспективные исследования и технологии
 
Эшелонированная оборона 2012
Эшелонированная оборона 2012Эшелонированная оборона 2012
Эшелонированная оборона 2012
 
Подход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеПодход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновение
 
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)RuSIEM (15.11.2015)
RuSIEM (15.11.2015)
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)
 
72 - Spring. Создание абстрактного уровня. Разбор д/з
72 - Spring. Создание абстрактного уровня. Разбор д/з72 - Spring. Создание абстрактного уровня. Разбор д/з
72 - Spring. Создание абстрактного уровня. Разбор д/з
 
13 03-7 презентация для мгу
13 03-7 презентация для мгу13 03-7 презентация для мгу
13 03-7 презентация для мгу
 

воропаев_презентация

  • 1. Дипломная работа Технологии защиты данных в системах дистанционного образования Выполнил: Воропаев И. С. КСиС-518 Руководитель: Хоренко А. С.
  • 2. Предмет диплома • Возможные угрозы • Методы защиты • Встроенные возможности фреймворков • Библиотеки обработки данных • Дистанционное образование
  • 3. Возможные атаки • CSRF • XSS • SQL-инъекции • Бесконтрольный доступ к ресурсам • Выполнение постороннего кода
  • 4. Методы защиты • Фильтрация пользовательских данных • Шифрование данных • Система контроля доступа • Системы оповещения • Обновление ПО
  • 5. Использованные технологии • Python • Web-framework Django • СУБД PostgreSQL • Шаблонизатор Django Template • Redis
  • 7. Средства проверки • Nikto2 • ZAP • Skipfish • Acunetix • NMap • Grabber
  • 8. Результат первых тестов • Есть возможность встроить iframe • Загрузка файлов произвольного типа в поле редактора • Использование чисел для получения доступа к данным • Использование данных с других ресурсов • Возможность перебора пароля • Доступ к файлам cookie при помощи JavaScript
  • 9. Проверка Moodle с настройками по умолчанию • Возможно эксплуатации атаки CSRF • Возможность просмотреть содержимое каталогов
  • 10. Методы исправления • Добавление заголовка X-Frame-Options • Установка флага HttpOnly • Логирование попыток побора паролей и ограничение доступа • Расширенная проверка данных редактора • Использование защищенных cookie • Словесное формирование URL
  • 11. Выводы • Рассмотрены виды угроз • Рассмотрены методы защиты • Выбор инструментов для реализации поставленных задач • Построение защищенных систем