20_09_2022_Shabrov_nir

Содержание

Слайд 2

Цели и задачи работы

Цель научно-исследовательской работы – разработка модуля аутентификации веб-ресурсов предприятия.

Цели и задачи работы Цель научно-исследовательской работы – разработка модуля аутентификации веб-ресурсов

Задачи, реализующие цель работы:
Провести анализ угроз веб-ресурсам.
Выявить требования к защите веб-ресурсов.
Проанализировать способы и криптографические протоколы аутентификации.
Выявить основные угрозы безопасности при аутентификации.
Разработать и обосновать структуру криптографического модуля веб-приложения предприятия – ее функционал и алгоритм работы.
Осуществить программную реализацию криптографического модуля веб-приложения предприятия.

Слайд 3

Понятие о веб-ресурсе

Авторизация и аутентификация

Протокол

Одна или несколько логически связанных между собой веб-страниц;

Понятие о веб-ресурсе Авторизация и аутентификация Протокол Одна или несколько логически связанных
также место расположения контента сервера

Веб-ресурс это:

Клиент

IP-адрес

Слайд 4

Процедура взаимодействия клиент-сервер

Структура клиентской части веб-ресурса

Процедура взаимодействия клиент-сервер Структура клиентской части веб-ресурса

Слайд 5

Основные угрозы для веб-ресурсов предприятия

Основные типы угроз информационной безопасности веб-приложения :
Угрозы конфиденциальности – несанкционированный доступ

Основные угрозы для веб-ресурсов предприятия Основные типы угроз информационной безопасности веб-приложения :
к данным.
Угрозы целостности – несанкционированное искажение или уничтожение данных.
Угрозы доступности – ограничение или блокирование доступа к данным.

Тройка наиболее распространенных атак на веб-ресурсы не меняется из года в год:
«Внедрение SQL-кода»
«Выход за пределы каталога»
«Межсайтовое выполнение сценариев»

Слайд 6

Основные требования к защите веб-ресурсов

Основные требования к защите веб-ресурсов

Слайд 7

Основные способы аутентификации веб-ресурсов

Основные способы аутентификации веб-ресурсов

Слайд 8

Структуре криптографического модуля

Криптографического модуль защиты веб-ресурсов предприятия

В основной состав криптографического модуля

Структуре криптографического модуля Криптографического модуль защиты веб-ресурсов предприятия В основной состав криптографического
веб-приложения предприятия входят такие элементы как:
Подмодуль хеширования пароля
Подмодуль валидации хешированного пароля
Подмодуль допуска
Подмодуль JWT токена
Подмодуль проверки токена
Подмодуль обновления токена

Слайд 9

Устройство и алгоритм работы JWT токена

Устройство и алгоритм работы JWT токена

Слайд 10

Алгоритм работы криптографического модуля веб-ресурса предприятия

Алгоритм работы криптографического модуля веб-ресурса предприятия

Слайд 11

Пример работы программы

С начала происходит вход пользователем на стартовую страницу

В случае если

Пример работы программы С начала происходит вход пользователем на стартовую страницу В
данные не проходят
валидацию на сервере, выводится ошибка:

Слайд 12

После регистрации и успешного пройденного теста на валидацию пароля и логина, пароль

После регистрации и успешного пройденного теста на валидацию пароля и логина, пароль
хешируется функцией стрибог и заносится в БД, вот как это выглядит:

После входа пользователя пускает на сервер, но функциями веб-ресурса он пользоваться не может. Здесь в качестве демонстрации таких функций присутствует кнопка «получить пользователей». Поскольку пользователь не подтвердил свой аккаунт, не перейдя по ссылке активации, отправленной ему на имеил

Слайд 13

После подтверждения аккаунта можно пользоваться функциями ресурса, причем функции могут находится на

После подтверждения аккаунта можно пользоваться функциями ресурса, причем функции могут находится на
стороннем сервере, пользователь все равно сможет ими пользоваться из-за наличия в куки токена доступа:

Также возможно возникновение ошибок, связанных с невнимательностью самого пользователя во время входа в аккаунт, таких как:

Активация аккаунта также прописывается в БД:

Слайд 14

При обновлении страницы, в случае если токен доступа истек, клиент отправляет токен

При обновлении страницы, в случае если токен доступа истек, клиент отправляет токен
обновления, его отправление можно увидеть в панели разработчика:

Еще один пример обращения к функции ресурса при истекшем токене доступа (пункт user) и немедленная отправка токена обновления (refresh):

Представление токенов в куки клиента:

Имя файла: 20_09_2022_Shabrov_nir.pptx
Количество просмотров: 87
Количество скачиваний: 0
- Предыдущая
Правила дорожного движения. Играть на проезжей части…
Следующая -
Анафилактический шок (алгоритм интенсивной терапии)

Похожие презентации

Правила оформления информационных источников в работе. 10 класс
Администрирование и безопасность
Revolution of Java
Создание сайта
Наследование классов. Пример лабораторной 2
Джойстик
Разработка баз данных
Технология проведения интернет-конференции Мосты науки
Операции над числами
Clean code
Компьютерные сети
SQLXML. Синтаксис XMLFOREST
Sensational clean
Создание сообщества
Личный блог, блог компании, блог от третьего лица
Windows 2000
Автоматический расчет стажей на основании кадровых изменений
Занятие 4. Понятие переменной. Арифметические действия. Команды ввода и вывода
Библиотека имени М.Ю. Лермонтова, Санкт-Петербург
Captcha и recaptcha
Работа в графическом редакторе Paint. Заливка
Сетевой фольклор
Виды и форматы электронных изданий
C#. Test
Подделка 2ГИС
Алгоритмы на тему Графы
4ed6a18c974140b9baffd227bfab0cb7 (1)
Макрос. Типичная программа для создания скриптов
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть