20_09_2022_Shabrov_nir

Содержание

Слайд 2

Цели и задачи работы

Цель научно-исследовательской работы – разработка модуля аутентификации веб-ресурсов предприятия.

Цели и задачи работы Цель научно-исследовательской работы – разработка модуля аутентификации веб-ресурсов

Задачи, реализующие цель работы:
Провести анализ угроз веб-ресурсам.
Выявить требования к защите веб-ресурсов.
Проанализировать способы и криптографические протоколы аутентификации.
Выявить основные угрозы безопасности при аутентификации.
Разработать и обосновать структуру криптографического модуля веб-приложения предприятия – ее функционал и алгоритм работы.
Осуществить программную реализацию криптографического модуля веб-приложения предприятия.

Слайд 3

Понятие о веб-ресурсе

Авторизация и аутентификация

Протокол

Одна или несколько логически связанных между собой веб-страниц;

Понятие о веб-ресурсе Авторизация и аутентификация Протокол Одна или несколько логически связанных
также место расположения контента сервера

Веб-ресурс это:

Клиент

IP-адрес

Слайд 4

Процедура взаимодействия клиент-сервер

Структура клиентской части веб-ресурса

Процедура взаимодействия клиент-сервер Структура клиентской части веб-ресурса

Слайд 5

Основные угрозы для веб-ресурсов предприятия

Основные типы угроз информационной безопасности веб-приложения :
Угрозы конфиденциальности – несанкционированный доступ

Основные угрозы для веб-ресурсов предприятия Основные типы угроз информационной безопасности веб-приложения :
к данным.
Угрозы целостности – несанкционированное искажение или уничтожение данных.
Угрозы доступности – ограничение или блокирование доступа к данным.

Тройка наиболее распространенных атак на веб-ресурсы не меняется из года в год:
«Внедрение SQL-кода»
«Выход за пределы каталога»
«Межсайтовое выполнение сценариев»

Слайд 6

Основные требования к защите веб-ресурсов

Основные требования к защите веб-ресурсов

Слайд 7

Основные способы аутентификации веб-ресурсов

Основные способы аутентификации веб-ресурсов

Слайд 8

Структуре криптографического модуля

Криптографического модуль защиты веб-ресурсов предприятия

В основной состав криптографического модуля

Структуре криптографического модуля Криптографического модуль защиты веб-ресурсов предприятия В основной состав криптографического
веб-приложения предприятия входят такие элементы как:
Подмодуль хеширования пароля
Подмодуль валидации хешированного пароля
Подмодуль допуска
Подмодуль JWT токена
Подмодуль проверки токена
Подмодуль обновления токена

Слайд 9

Устройство и алгоритм работы JWT токена

Устройство и алгоритм работы JWT токена

Слайд 10

Алгоритм работы криптографического модуля веб-ресурса предприятия

Алгоритм работы криптографического модуля веб-ресурса предприятия

Слайд 11

Пример работы программы

С начала происходит вход пользователем на стартовую страницу

В случае если

Пример работы программы С начала происходит вход пользователем на стартовую страницу В
данные не проходят
валидацию на сервере, выводится ошибка:

Слайд 12

После регистрации и успешного пройденного теста на валидацию пароля и логина, пароль

После регистрации и успешного пройденного теста на валидацию пароля и логина, пароль
хешируется функцией стрибог и заносится в БД, вот как это выглядит:

После входа пользователя пускает на сервер, но функциями веб-ресурса он пользоваться не может. Здесь в качестве демонстрации таких функций присутствует кнопка «получить пользователей». Поскольку пользователь не подтвердил свой аккаунт, не перейдя по ссылке активации, отправленной ему на имеил

Слайд 13

После подтверждения аккаунта можно пользоваться функциями ресурса, причем функции могут находится на

После подтверждения аккаунта можно пользоваться функциями ресурса, причем функции могут находится на
стороннем сервере, пользователь все равно сможет ими пользоваться из-за наличия в куки токена доступа:

Также возможно возникновение ошибок, связанных с невнимательностью самого пользователя во время входа в аккаунт, таких как:

Активация аккаунта также прописывается в БД:

Слайд 14

При обновлении страницы, в случае если токен доступа истек, клиент отправляет токен

При обновлении страницы, в случае если токен доступа истек, клиент отправляет токен
обновления, его отправление можно увидеть в панели разработчика:

Еще один пример обращения к функции ресурса при истекшем токене доступа (пункт user) и немедленная отправка токена обновления (refresh):

Представление токенов в куки клиента:

Имя файла: 20_09_2022_Shabrov_nir.pptx
Количество просмотров: 35
Количество скачиваний: 0