20_09_2022_Shabrov_nir

Содержание

Слайд 2

Цели и задачи работы

Цель научно-исследовательской работы – разработка модуля аутентификации веб-ресурсов предприятия.

Цели и задачи работы Цель научно-исследовательской работы – разработка модуля аутентификации веб-ресурсов

Задачи, реализующие цель работы:
Провести анализ угроз веб-ресурсам.
Выявить требования к защите веб-ресурсов.
Проанализировать способы и криптографические протоколы аутентификации.
Выявить основные угрозы безопасности при аутентификации.
Разработать и обосновать структуру криптографического модуля веб-приложения предприятия – ее функционал и алгоритм работы.
Осуществить программную реализацию криптографического модуля веб-приложения предприятия.

Слайд 3

Понятие о веб-ресурсе

Авторизация и аутентификация

Протокол

Одна или несколько логически связанных между собой веб-страниц;

Понятие о веб-ресурсе Авторизация и аутентификация Протокол Одна или несколько логически связанных
также место расположения контента сервера

Веб-ресурс это:

Клиент

IP-адрес

Слайд 4

Процедура взаимодействия клиент-сервер

Структура клиентской части веб-ресурса

Процедура взаимодействия клиент-сервер Структура клиентской части веб-ресурса

Слайд 5

Основные угрозы для веб-ресурсов предприятия

Основные типы угроз информационной безопасности веб-приложения :
Угрозы конфиденциальности – несанкционированный доступ

Основные угрозы для веб-ресурсов предприятия Основные типы угроз информационной безопасности веб-приложения :
к данным.
Угрозы целостности – несанкционированное искажение или уничтожение данных.
Угрозы доступности – ограничение или блокирование доступа к данным.

Тройка наиболее распространенных атак на веб-ресурсы не меняется из года в год:
«Внедрение SQL-кода»
«Выход за пределы каталога»
«Межсайтовое выполнение сценариев»

Слайд 6

Основные требования к защите веб-ресурсов

Основные требования к защите веб-ресурсов

Слайд 7

Основные способы аутентификации веб-ресурсов

Основные способы аутентификации веб-ресурсов

Слайд 8

Структуре криптографического модуля

Криптографического модуль защиты веб-ресурсов предприятия

В основной состав криптографического модуля

Структуре криптографического модуля Криптографического модуль защиты веб-ресурсов предприятия В основной состав криптографического
веб-приложения предприятия входят такие элементы как:
Подмодуль хеширования пароля
Подмодуль валидации хешированного пароля
Подмодуль допуска
Подмодуль JWT токена
Подмодуль проверки токена
Подмодуль обновления токена

Слайд 9

Устройство и алгоритм работы JWT токена

Устройство и алгоритм работы JWT токена

Слайд 10

Алгоритм работы криптографического модуля веб-ресурса предприятия

Алгоритм работы криптографического модуля веб-ресурса предприятия

Слайд 11

Пример работы программы

С начала происходит вход пользователем на стартовую страницу

В случае если

Пример работы программы С начала происходит вход пользователем на стартовую страницу В
данные не проходят
валидацию на сервере, выводится ошибка:

Слайд 12

После регистрации и успешного пройденного теста на валидацию пароля и логина, пароль

После регистрации и успешного пройденного теста на валидацию пароля и логина, пароль
хешируется функцией стрибог и заносится в БД, вот как это выглядит:

После входа пользователя пускает на сервер, но функциями веб-ресурса он пользоваться не может. Здесь в качестве демонстрации таких функций присутствует кнопка «получить пользователей». Поскольку пользователь не подтвердил свой аккаунт, не перейдя по ссылке активации, отправленной ему на имеил

Слайд 13

После подтверждения аккаунта можно пользоваться функциями ресурса, причем функции могут находится на

После подтверждения аккаунта можно пользоваться функциями ресурса, причем функции могут находится на
стороннем сервере, пользователь все равно сможет ими пользоваться из-за наличия в куки токена доступа:

Также возможно возникновение ошибок, связанных с невнимательностью самого пользователя во время входа в аккаунт, таких как:

Активация аккаунта также прописывается в БД:

Слайд 14

При обновлении страницы, в случае если токен доступа истек, клиент отправляет токен

При обновлении страницы, в случае если токен доступа истек, клиент отправляет токен
обновления, его отправление можно увидеть в панели разработчика:

Еще один пример обращения к функции ресурса при истекшем токене доступа (пункт user) и немедленная отправка токена обновления (refresh):

Представление токенов в куки клиента:

Имя файла: 20_09_2022_Shabrov_nir.pptx
Количество просмотров: 32
Количество скачиваний: 0
- Предыдущая
Правила дорожного движения. Играть на проезжей части…
Следующая -
Анафилактический шок (алгоритм интенсивной терапии)

Похожие презентации

Межрегиональная Общественная организация Центр противодействия кибер преступлениям Я выбираю жизнь
Tabular information
Интернет-портал Народная экспертиза
Количество путей в графе
Информационные системы. Экономические информационные системы
Космические системы ретрансляции. Радио-ретрансляция и оптическая ретрансляция
Применение программного комплекса ТБ-HAZOP+SIL для решения задач интегрального анализа угроз
Функциональное проектирование БТС
Структура как пользовательский тип и совокупность данных
Звук и музыка
Teams pad
Устройства мультимедиа
Prospector (1). Общие понятия
Изучение возможностей и синтаксиса Python: Функции. 4 занятие
Алгоритм
Логические основы информатики
О мультифрактальности сетевых медиакоммуникаций в ЕС и РФ: социально-теоретический аспект
Технические средства и комплексное обеспечение безопасности
Программирование в виде релейно-контактных схем. МПСвЭПиТК
Линейные алгоритмы
Смайлики
Проект Spark Drawing
Язык программирования Pascal Массивы А. Жидков
Технология создания, редактирования, оформления, сохранения, передачи и поиска текстовых документов
Программирование на языке Pascal
Предложения по улучшению сайта
1090440
Использование основных методов информатики и средств ИКТ при анализе процессов в обществе, природе и технике
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть