Научная статья на тему 'Анализ безопасности стека технологий для разработки Web-ресурсов'

Анализ безопасности стека технологий для разработки Web-ресурсов Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
1093
99
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
WEB-РЕСУРС / СТЕК ТЕХНОЛОГИЙ / ЗАЩИТА ИНФОРМАЦИИ / УЯЗВИМОСТЬ / БАЗА ДАННЫХ УЯЗВИМОСТЕЙ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Семенова З. В., Данилова О. Т., Ковшарь И. Р.

В статье рассматриваются подходы, касающиеся выбора стека технологий для разработки Web-ресурсов. Представлен анализ популярности отдельных компонентов стека. Приведены результаты анализа безопасности отдельных компонентов стека, опирающегося на авторитетные банки и базы уязвимостей, в частности банк данных угроз безопасности информации ФСТЭК России, базу данных общеизвестных уязвимостей информационной безопасности Common Vulnerabilities and Exposures (CVE) от компании MITRE и CVE-Search от компании CIRCL. Предложен стек технологий, который является предпочтительным на текущей момент, если во главу угла ставятся вопросы защиты Web-ресурсов.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Анализ безопасности стека технологий для разработки Web-ресурсов»

Эксперименты в лабораторных условиях показали, что:

• система регистрирует движение человека в случаях его появления между контрольными роутерами;

• система обнаруживает устройство с Wi-Fi адаптером, а в случае получения уровней сигналов устройства от трех роутеров и более определяет местоположение и отображает объект на плане;

• программное обеспечение работает в связке с аппаратной составляющей и точность измерений также зависит от точности определения уровней сигналов роутерами.

Список литературы

1. Рева И. Л., Богданов А. А., Малахова Е. А. Применение точек доступа Wi-Fi для регистрации движения на объекте // Научный вестник НГТУ. 2017. № 3 (68). С. 104-125.

2. Мерсер Дэйв У., Кент Аллан, Новицки Стивен, Мерсер Дэвид, Скуайер Дэн, Чой Ван Кью. PHP 5 для начинающих / пер. с англ. М. : ООО И.Д. «Вильямс», 2006. 848 с.

3. TP-Link Router TL-MR3020. URL: https://fast.ulmart.ru/manuals/298806.pdf (дата обращения: 04.06.2019).

4. TP-Link TL-SG108. URL: https://mcgrp.ru/files/viewer/210261/1 (дата обращения: 02.06.2019).

5. Рева И. Л., Богданов А. А., Малахова Е. А. К вопросу о применении точек доступа WI-FI для регистрации движения на объекте при отсутствии у человека устройства с WI-FI-модулем // Вестник Астраханского государственного технического университета. Серия: Управление, вычислительная техника и информатика = Vestnik of Astrakhan State Technical University. Series: Management, Computer Science and Informatics. 2019. № 1. С. 73-79. DOI: 10.24143/2072-9502-2019-1-73-78.

6. Reva I. L., Bogdanov A. A., Malakhova E. A., Ivanov A. V. Motion registration on a protected object in absence of a person with a device with Wi-Fi adapter // Actual problems of electronic instrument engineering (APEIE-2018) = Актуальные проблемы электронного приборостроения (АПЭП-2018): тр. 14 междунар. науч.-техн. конф., Новосибирск, 2-6 окт. 2018 г. Новосибирск : Изд-во НГТУ, 2018. Т. 1, ч. 2. С. 215-217. DOI: 10.1109/APEIE.2018.8546187.

УДК 004.056.5

АНАЛИЗ БЕЗОПАСНОСТИ СТЕКА ТЕХНОЛОГИЙ ДЛЯ РАЗРАБОТКИ WEB-РЕСУРСОВ

THE ANALYSIS OF SECURITY OF A STACK OF TECHNOLOGIES FOR DEVELOPMENT OF WEB-RESOURCES

З. В. Семенова1, О. Т. Данилова2, И. Р. Ковшарь1

'Сибирский государственный автомобильно-дорожный университет, г. Омск, Россия, 2Омский государственный технический университет, г. Омск, Россия

Z. V. Semenova1, O. T. Danilova2, I. R. Kovshar1

'Siberian State Automobile and Highway University, Omsk, Russia 2Omsk State Technical University, Omsk, Russia

Аннотация. В статье рассматриваются подходы, касающиеся выбора стека технологий для разработки Web-ресурсов. Представлен анализ популярности отдельных компонентов стека. Приведены результаты анализа безопасности отдельных компонентов стека, опирающегося на авторитетные банки и базы уязвимостей, в частности банк данных угроз безопасности информации ФСТЭК России, базу данных общеизвестных уязвимостей информационной безопасности Common Vulnerabilities and Exposures (CVE) от компании MITRE и CVE - Search от компании CIRCL. Предложен стек технологий, который является предпочтительным на текущей момент, если во главу угла ставятся вопросы защиты Web-ресурсов.

Ключевые слова: Web-ресурс, стек технологий, защита информации, уязвимость, база данных уяз-вимостей.

DOI: 10.25206/2310-9793-7-4-98-105

I. Введение

Одна из самых обсуждаемых сегодня тем - это цифровизация, которая затрагивает все сферы деятельности человека. Она предопределяет акцентирование внимания на тотальной автоматизации всех бизнес-процессов и, как следствие, существенное увеличение количества Web-ресурсов. Даже специалистов удивляет тот факт, что «...более 200 новых веб-сайтов размещаются каждую минуту» [1]. Разработка Web-ресурсов сегодня ведется с использованием широкого спектра технологий и разнообразных средств. При этом нет единого мнения, какой стек технологий является предпочтительным. Все зависит не только от сложности и функциональности самого сайта, не только от того, что разработчики ставят во главу угла, но чаще всего от архитектуры проекта.

Говоря о стеке технологий для разработки сайтов, как правило, определяют системные требования: какую необходимо выбрать операционную систему и систему управления базами данных (СУБД), какой использовать веб-сервер и язык программирования. Кроме того, принимают решение и относительно фремворка и фронтенда.

Члены профессионального сообщества, с одной стороны, обсуждают сложившиеся традиции по вопросу выбора инструментов разработки, а с другой - рекомендуют учитывать наметившиеся тренды, указывая на то, что «важно выбрать не просто хорошую технологию сегодня, а предугадать тренды развития так, чтобы остаться на коне через несколько лет» [2]. Если пренебречь подобным советом, то может случиться так, что через несколько лет придется либо переписывать сайт, либо заказывать новый.

К сожалению, специалисты Web-программирования не всегда должное внимание уделяют вопросам безопасности Web-ресурсов. При этом по данным авторитетной международной компанией Positive Technologies, которая регулярно на своем сайте публикует аналитические материалы по вопросам защищенности информационной инфраструктуры, вновь приводятся неутешительные данные за 2018 год. Специалисты компании подчеркивают, что «. взлом веб-приложений является одним из наиболее часто используемых методов кибератак как на организации, так и на частных лиц» [3]. Кроме того, в своем аналитическом обзоре Positive Technologies обращает внимание на то, что есть такие виды особо популярных атак на Web-ресурсы, которые несколько лет подряд входят в ТОР-5. Среди них лидерами являются атака типа SQL Injection (27%) и Cross-Site Scripting - XSS (14%), а также Path Traversal (выход за пределы каталога) - 17% [3]. Все это свидетельствует о том, что актуальным остается вопрос, на каком этапе разработки Web-ресурсов и какими способами следует защищать сайт.

II. Постановка задачи

В теории и практике разработки сайтов вопрос его защиты достаточно обсуждаемая проблема. Безусловно, накоплен некоторый опыт по ряду как общих, так и частных вопросов, касающихся обеспечения безопасности web-ресурсов. Так, рассматривается классификация угроз безопасности web-ресурсов и последствия их реализации [4]. Кроме того, авторы предлагают описание жизненного цикла web-приложения от момента его разработки до вывода из эксплуатации, где предусмотрено периодическое обновление бизнес -требований к web-приложению, совершенствование стратегии защиты и политики информационной безопасности и, как следствие, переопределение используемых технологий.

Специалистами описана математическая модель угроз, модель нарушителя и предложена методика управления рисками [5]. Есть исследования, в рамках которых выполнено сравнение форматов открытых баз уязвимо-стей, что, по мнению авторов, должно способствовать повышению качества анализа защищенности информационных систем и сетей вообще, а также и web-приложений, в частности [6]. Исследована возможность применения общедоступных и коммерческих банков уязвимостей и дана их подробная характеристика [7].

Существенное количество исследований посвящено более частным проблемам. Достаточно широко обсуждаются методы и средства защиты web-ресурсов от SQL-инъекций и межсайтового скриптинга (CSS) [8], [9], [10], [11].

Широко используются и хорошо зарекомендовали себя экранирование, преобразование типов данных, вводимых пользователем Web-ресурса, метод параметризации запросов и другие, позволяющие противостоять SQL-инъекциям. Отметим, что большинство языков, которые используют в рамках стека технологий для разработки веб-ресурсов, эту возможность предусматривают.

Кроме того, разработчикам Web-ресурсов рекомендуют перед ручной проверкой на подобные уязвимости воспользоваться разнообразными инструментами (Netsparker, Xenotix XSS Exploit Framework, CSP Evaluator и др.) для определения уровня защищенности ресурса [8], [9]. Нередко можно встретить описание простейших средств детекции того или иного типа атаки [11]. Поскольку такие средства, как правило, осуществляют детекцию одного (конкретного) типа атаки, они не требовательны к ресурсам вычислительной системы и просты в использовании.

Существенное внимание также уделяется защите web-ресурсов в контексте авторизации пользователей. Так, в процессе аутентификации предлагается использовать хеш-функци, а именно растяжение ключа, значение итераций которого не должен быть большим [12]. Проводятся исследования, в рамках которых «.для под-

тверждения личности пользователя предложено использовать методы динамической биометрической аутентификации на основе динамика рукописного почерка» [13].

Все чаще специалисты среди средств защиты выделяют использование межсетевых экранов для SQL-серверов (web application firewalls, WAF) [3] [14], [15], [16]. Специалисты подчеркивают высокую надежность современных специализированных брандмауэров, в частности утверждают, что «межсетевой экран должен не только обеспечивать противодействие известным атакам на уровне приложения и бизнес-логики, но и выявлять эксплуатацию уязвимостей нулевого дня, предотвращать атаки на пользователей, анализировать и сопоставлять множество событий для выявления цепочек атак, что возможно только при использовании инновационных технологий нормализации, эвристического и поведенческого анализа и самообучения» [3].

Вместе с тем авторы публикаций выделяют и некоторые недостатки использования WAF, отмечая, что он сам, являясь программным обеспечением WAF имеет уязвимости: «Эксперты по безопасности регулярно идентифицируют все новые уязвимости WAF, позволяющие получить доступ к консоли администрирования, отключить или обойти фаервол, представляющий дополнительный слой защиты, но не обеспечивают решение проблемы» [15].

Таким образом, проблемы обеспечения безопасности web-ресурсов не решаются комплексно (есть предложения для отдельных компонентов стека или отдельных этапов работы web-приложения). В некоторых случаях вопросы безопасности Web-ресурса предлагается решать на уровне проверки web-приложения на уязвимости.

Представляется продуктивным решать вопросы по защите Web-ресурсов еще на этапе выбора компонентов стека технологий, учитывая такие факторы, как популярность компонента стека, его достоинства и статистика уязвимостей.

III. Анализ популярности компонентов стека технологий для разработки Web-ресурсов

Существуют разные подходы к выбору компонентов стека технологий для разработки web-приложений. Специалисты рекомендуют учитывать комплекс факторов, среди которых один из наиболее значимых уровень современности технологии [17], что нередко коррелирует с ее популярностью.

Первый компонент стека - серверная операционная система. При выборе ОС для сервера опытные разработчики Web-ресурсов советуют остановить свой выбор на Ubuntu. Такой выбор они обосновывают тем, что данная ОС активно обсуждается в профессиональных сообществах, по ней больше всего форумов, блогов и т. п. Все это упрощает работу с сервером: легче найти решение возникшей проблемы. ОС Debian очень похожа с Ubuntu. CentOS считается более устаревшим вариантом, но тоже пользуется неплохим спросом [18].

В открытых источниках австрийской компании Q-Success Web-based Services, которая собирает статистику использования веб-технологий (наименование проекта W3Techs), представлена статистика использования серверных операционных систем [19]. Согласно ей на 1 мая 2019 года сервера, работающие на семействе ОС UNIX, занимают 69,9%, а Windows - 30,1%. Unix, в свою очередь, подразделяется на такие наиболее популярные ОС, как Linux (52,4%) и BSD (0,8%). При этом Семейство Linux, по сравнению с BSD подразделяется на большее количество операционных систем, самыми популярными из которых являются Ubuntu (38,1%), Debian (21,5%), CentOS (17,5%), Red Hat (2,2%), остальные - менее 2%. Таким образом, очевидно, что наиболее популярной серверной ОС на текущий момент является Ubuntu.

Что касается такого компонента стека, как веб-сервер, то здесь согласно статистике британской компании Netcraft [20] на май 2019 года наиболее популярными являются следующие продукты: Apache, NGINX, Microsoft IIS и LiteSpeed (рис. 1).

Следует отметить, что наиболее популярный в российском интернете веб-сервер - NGINX. По сравнению с Apache он является наиболее простым и не обладает избыточными функциями. Также специалисты отмечают его надежность и высокую скорость работы. Как видно из рис. 1, на текущий момент этот программный продукт делит первое место с Apache, также владея 29% рынка.

Важным компонентом стека технологий для разработки web-приложений, безусловно, является СУБД. По версии сайта австрийской консалтинговой компанией Solid IT db-engines.com [20] рейтинг СУБД на май 2019 года в TOP-5 входят: СУБД Oracle, СУБД MySQL, СУБД Microsoft SQL Server, СУБД PostgreSQL и СУБД MongoDB.

При разработке программного продукта существует возможность выбора разнообразных языков программирования, которая зависит от многих факторов. При выборе языка для персонального проекта можно положиться на свои личные предпочтения, однако в проектах для крупных организаций для решения конкретной проблемы группы разработчиков создают компоненты, взаимодействующие и взаимосвязанные между собой. На выбор языка могут повлиять такие факторы, как переносимость программы на другую платформу или доступность ресурсов. В данной публикации будем рассматривать PHP (версия 7.3) и соответствующие фрейм-форки: Laravel, Yii, Symfony, Zend Framework.

Рис. 1. Статистика используемых веб-серверов на май 2019 г

На основе опроса, проведенного мельбурнским веб-сайтом SitePoint [21] в 2015 году, в котором приняли участие более 7800 разработчиков, составлена и опубликована статистика использования фреймворков языка программирования Php в разных странах.

В общем рейтинге первое место с ощутимым отрывом занял фреймфорк Laravel. При этом Symfony на 2 месте, Yii2 - на 5, а ZendFramework - на 8. Однако следует заметить, что в рейтинге использования фреймворка учитывающих локализацию, наибольшее распространение в Российской Федерации получил Yii2 (табл. 1). Представляется, что это связано с тем, что для русскоязычных разработчиков имеется хорошая документация, множество статей, форумов с примерами кода и развито сообщество в целом.

ТАБЛИЦА 1

СТАТИСТИКА ИСПОЛЬЗОВАНИЯ ФРЕЙМВОРКОВ ПО СТРАНАМ

№ Country Total Votes Work Favorite Votes Total Votes Votes

1 United States 819 Laravel 219 Laravel 293

2 Czech Republic 770 Nette 611 Nette 639

3 United Kingdom 496 Laravel 138 Laravel 166

4 Germany 428 Symfony2 76 Laravel 100

5 France 343 Symfony2 149 Symfony2 136

6 Brazil 305 Laravel 100 Laravel 111

7 India 287 Laravel 62 Laravel 77

8 Ukraine 263 PHPixie 66 PHPixie 67

9 Indonesia 242 Codelgniter 77 Laravel 64

10 Russian Federation 235 Yii2 53 Yii2 72

Таким образом, если учитывать лишь один фактор - популярность того или иного компонента стека технологий, то сам стек мог быть таким:

1) ОС Ubuntu Server;

2) веб-сервер Apache;

3) СУБД Oracle или MySQL;

4) язык программирования php;

5) фреймворк Yii.

Данный подход, как видно из приведенного анализа, не учитывает безопасность предложенных компонентов стека технологий для разработки Web-ресурсов.

IV. Анализ статистики уязвимостей компонентов стека технологий

для разработки Web-ресурсов

Проанализируем статистику уязвимостей по каждому отдельному компоненту стека технологий для разработки Web-ресурсов, опираясь на авторитетные данные. Будем использовать банк данных угроз безопасности информации ФСТЭК России [22]. Кроме этого, будем опираться на базу данных общеизвестных уязвимостей информационной безопасности Common Vulnerabilities and Exposures (CVE) от компании MITRE [23] и CVE-Search от компании CIRCL [24].

ТАБЛИЦА2

СТАТИСТИКА УЯЗВИМОСТЕЙ ОС ПО ВЕРСИИ ФСТЭК/ MITRE/CIRCL

Название ОС Общее число уязвимостей за 2019 год Общее число уязвимостей за 2018 год Общее число уязвимостей за все время ведения статистики

Windows Server 133/217/214 165/751/749 750/6955/6950

Red Hat Enterprise Linux 2/1/0 3/6/2 1828/172/168

Debian 3/107/7 0/818/4 3388/9856/183

CentOS 0/5/5 2/10/10 989/24/17

Ubuntu 0/139/9 0/919/9 35/6717/117

Как видно из табл. 2, количество уязвимостей, отраженных в различных базах, различается существенным образом. В профессиональном сообществе бытует мнение, что данные показатели зависят от частоты обновлений и различных систем оценок уязвимостей.

При анализе уязвимостей будем учитывать максимальное их количество, таким образом, обобщая данные разных источников, получаем следующий вариант статистики уязвимостей операционных систем (рис. 2).

Статистика уязвимости ОС

1,1- J

Windows Server Red Hat Debian CentOS Ubuntu

Enterprise Linux

■ Общее число уязвимостей за 2019 год

■ Общее число уязвимостей за 2018 год

■ Общее число уязвимостей за все время ведения статистики

Рис. 2. Статистика уязвимостей ОС

Таким образом, из вышеуказанных данных, следует, что наибольшее количество уязвимостей имеют Windows Server, Debian и Ubuntu. При этом наиболее безопасными будут Red Hat Enterprise Linux и CentOS. Сравнивая количество уязвимостей CentOS и Red Hat Enterprise Linux, на первый взгляд можно сказать, что CentOS безопаснее, так как имеет всего 989 уязвимостей по сравнению с Red Hat Enterprise Linux, у которой 1828 уязвимостей за все время ведения статистики, однако следует обратить внимание, что за последние два года именно у CentOS выявлено в 2 раза больше уязвимостей, чем у Red Hat Enterprise Linux. Кроме того, из-за того, что CentOS является бесплатным дистрибутивом Red Hat Enterprise Linux, у него отсутствует поддержка, доступ к официальным репозиториям RPM и оперативное получения исправлений безопасности и программных обновлений. Таким образом, выбор следует остановить на Red Hat Enterprise Linux.

12000 10000 8000 6000 4000 2000 0

Как и в случае с ОС, для статистического анализа уязвимостей веб-серверов будем из рассматриваемых баз уязвимостей выбирать наибольшее значение по каждому продукту (табл. 3).

ТАБЛИЦА 3

СТАТИСТИКА УЯЗВИМОСТЕЙ WEB-СЕРВЕРОВ

Название веб- Общее число уязвимостей Общее число уязвимо- Общее число уязвимостей за все время ведения статистики

сервера за 2019 год стей за 2018 год

Apache 38 163 1456

Microsoft IIS 0 0 113

NGINX 9 9 58

LiteSpeed 0 2 7

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Таким образом, можно сделать вывод, что наибольшее количество уязвимостей имеют Apache и Microsoft IIS. При этом NGINX и LiteSpeed имеют наименьшее количество уязвимостей. С точки зрения информационной безопасности наиболее безопасным веб-сервером является LiteSpeed из-за наименьшего количества уязвимостей, однако при использовании данного веб-сервера возникает множество проблем, что обусловлено рядом факторов. Основной из них состоит в том, что доля рынка по данному веб-серверу всего 1,71%, следовательно, проблемы, возникающие при использовании продукта, меньше обсуждаются в профессиональной среде и соответственно при возникновении проблемы решение будет найти сложнее. Кроме того, возможны проблемы, касающиеся совместимости с ранее разработанных проектов, если потребуется их интеграция.

Сказанное выше предопределяет выбор бесплатного веб-сервера NGINX от отечественного разработчика, который делит первое место доли рынка с Apache, а также имеет существенно меньше уязвимостей, чем главный конкурент.

Опираясь на те же базы уязвимостей и выбранный нами подход, получим статистику уязвимостей систем управления базами данных (табл. 4).

ТАБЛИЦА4 СТАТИСТИКА УЯЗВИМОСТЕЙ СУБД

Название СУБД Общее число уязвимостей за 2019 год Общее число уязвимостей за 2018 год Общее число уязвимо-стей за все время ведения статистики

Oracle DB 9 12 552

MySQL 71 142 1116

Microsoft SQL Server 1 5 120

PostgreSQL 3 14 171

Из представленной таблицы видно, что большее количество уязвимостей имеют MySQL и Oracle Database. При этом наиболее безопасными СУБД являются Microsoft SQL Server и PostgreSQL. Наиболее надежным решением является выбор продукта от Microsoft, так как количество актуальных уязвимостей меньше, чем у PostgreSQL, также MS SQL Server занимает первое место по использованию среди ФГИС в России, однако у данного продукта неприемлемо высокая стоимость лицензии и требовательность данного продукта к ресурсам системы огромна, что может снизить производительность и скорость работы информационной системы. Эти факторы могут стать причиной отказа от данного продукта. Заметим, что у СУБД PostgreSQL отсутствуют вышеуказанные недостатки, а популярность этой СУБД растет год от года. Таким образом, в определенных условиях наилучшим решением может стать использование СУБД PostgreSQL.

Что касается фреймворков, то наибольшее количество уязвимостей имеет Symfony и Zend Framework, а наиболее безопасными являются Laravel и Yii 2 (рис. 3).

Наиболее надежным решением является выбор фреймворка Yii 2: актуальных угроз у него меньше чем в Laravel. Кроме того, учитывая результаты анализа популярности, предпочтение следует отдать фреймворку Yii2, что обусловлено его распространенностью в РФ, хорошим уровнем документирования на русском языке, наличие профессионального сообщества, являющегося приверженцем фреймворка Yii 2 и, как следствие, существование множества форумов, поддерживающих обсуждение актуальных проблем с указанным фреймворком.

1Оз

Статистика уязвимостей фреймворков

5G 4G 3G 2G iG G

Laravel Yii 2 Symfony Zend Framework

■ Общее число уязвимостей за 2019 год

■ Общее число уязвимостей за 2018 год

Общее число уязвимостей за все время ведения статистики

Рис. 3. Статистика уязвимостей фреймворков

Проведенный анализ компонентов стека технологий позволяет предложить наиболее безопасный и актуальный стек технологий для разработки Web-ресурсов:

1) ОС Red Hat Enterprise Linux;

2) веб-сервер NGINX;

3) СУБД PostgreSQL;

4) язык программирования и фреймворк php и Yii2.

Следует заметить, что это только первый шаг к обеспечению безопасности Web-ресурса, который должен быть дополнен и другими мерами, определять которые необходимо на всех этапах жизненного цикла Web-ресурса, особо заботясь об этом на этапе его проектирования.

VI. Выводы и заключение

Как показало наше исследование, вопросам обеспечения безопасности Web-ресурсов уделяется немалое внимание. Мы убеждены, что решать данную проблему необходимо, начиная с определения стека технологий, ориентируясь на ряд факторов, ведущим из которых должен стать фактор безопасности. Не всегда самые популярные продукты, являющиеся компонентами стека, характеризуются достаточным уровнем безопасности. Проведенный анализ показал, что на сегодняшний день (июнь 2019 г.) можно рекомендовать следующий стек технологий для разработки Web-ресурсов: операционную систему ОС: Red Hat Enterprise Linux; веб-сервер NGINX; СУБД PostgreSQL; язык программирования и фреймворк php и Yii2 соответственно.

Список литературы

1. Галиуллин А. Тенденции веб-разработки в 2019 году // Medium, 2018. URL : https://medium.com/ íutureinapps/тенденции-веб-разработки-в-2Gi9-годy-8iaG967ded2d/

2. Семенов Н. А. Выбор технологий для большого и не очень большого веб-проекта // Seclgroup, 2Gi6. URL : https://Seclgroup.ru/article_choice_of_technology_for_the_web_project.html.

3. Атаки на веб-приложения: итоги 2018 года // Ptsecurity, 2019. URL : https://www.ptsecurity.com/ru-ru/research/analytics/web-application-attacks-2Gi9/#id3.

4. Оладько В. С., Микова С. Ю., Нестеренко М. А. Технологии защиты интернет-технологий и web-приложений // Международный научный журнал. 2015. № 8. С. 81-85.

5. Власенко А. В., Дзьобан П. И. Разработка и системный анализ математической модели угроз, модели нарушителя, процедур защиты web-приложений на всех этапах функционирования // Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета. 2014. № 07(101). С. 2154-2i64.

6. Федорченко А. В., Чечулин А. А., Котенко И. В. Исследование открытых баз уязвимостей и оценка возможности их применения в системах анализа защищенности компьютерных // Информационно-управляющие системы. 2014. № 5 (72). С. 72-79

7. Сапожников А. Общий обзор реестров и классификаций уязвимостей (CVE, OSVDB, NVD, Secunia) // Безопасность пользователей в сети интернет. 2Gi9. URL : https://safe-surf.ru/specialists/article/5228/6G73ii/.

8. Desailly K. iG Tips to Improve Your Website Security // SucuriBlog. 2Gi8. URL: https://blog.sucuri.net/ 2Gi8/ii/iG-tips-to-improve-your-website-security-2.html.

E

9. Gerber R., Compton T., Perry (Netmag) T. 9 security tips to protect your website from hackers // Creative Blog. 2018. URL: https://www.creativebloq.com/web-design/website-security-tips-protect-your-site-7122853.

10. Оладько В. С. Механизмы защиты web-приложений от внедрения вредоносного кода // Новый университет. Серия: Технические науки. 2015. № 3-4 (37-38). С. 64-68.

11 Носиров З. А., Ажмухамедов И. М. Детектирование XSS-уязвимостей на основе анализа полной карты веб-приложения // Электронные средства и системы управления. 2018. № 1-2. С. 37-40.

12. Власенко А. В., Дзьобан П. И. Алгоритм и методика контроля и управления авторизацией пользователей в WEB-приложении // Научные труды КубГТУ. 2016. № 16. С. 12-18.

13. Лапина Т. И., Димов Э. М., Петрик Е. А., Лапин Д. В. Управление доступом к информационным ресурсам в информационных системах // Моделирование, оптимизация и информационные технологии. Научный журнал. 2018. Т. 6, № 4. С. 523-533. DOI: 10.26102/2310-6018/2018.23.4.039.

14. Ситдикова А. Г., Жуков В. Г. Развертывание межсетевого экрана уровня веб-сервера // Решетневские чтения. 2017. Т. 2. С. 429-430.

15. Тоболь Б. Защита веб-приложений: мифы и реальность // Anti-malware. 2018. URL : https://www.anti-malware.ru/analytics/Technology_Analysis/web-security-myths-and-reality.

16. Хайретдинов Р. Web-application firewalls // Information Security/ Информационная безопасность. 2015. № 2. URL: http://lib.itsec.ru/articles2/firewall/web-application-firewalls.

17. Basic Guide to Choosing the Right Tech Stack for Client Work // Freecodecamp. 2018. URL: https://www.freecodecamp.org/news/a-basic-guide-to-choosing-the-right-tech-stack-for-client-work-adbd0e056742/.

18. Рудь А. В. Какую ОС выбрать для работы сервера? // Hyperhost. 2015. URL: https://hyperhost.ua/info/kakuyu-os-vyibrat-dlya-rabotyi-servera/ (дата обращения: 23.06.2019).

19. W3Techs - World Wide Web Technology Surveys // W3Techs. 2019. URL: https://w3techs.com (дата обращения: 23.06.2019).

20. Knowledge Base of Relational and NoSQL Database Management Systems // DB- ENGINES. 2019. URL: https://db-engines.com/en/ (дата обращения: 23.06.2019).

21. The Best PHP Framework for 2015: SitePoint Survey Results // Sitepoint. 2019. URL: https://www.sitepoint.com/best-php-framework-2015-sitepoint-survey-results/ (дата обращения: 23.06.2019).

22. Банк данных угроз безопасности информации. ФСТЭК России, 2019. URL: http://bdu.fstec.ru/vul.

23. Search CVE List // Common Vulnerabilities and Exposures (MITRE). 2019. URL: https ://cve. mitre. org/index. html.

24. CICRL Search CVE // Common Vulnerabilities and Exposures (CIRCL). 2019. URL: http://cve.circl.lu.

УДК 004.057.4:004.738

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ МНОГОПУТЕВОГО РАСШИРЕНИЯ

ПРОТОКОЛА МАРШРУТИЗАЦИИ OLSR

SECURING THE MULTIPATH EXTENSION OF THE OLSR ROUTING PROTOCOL

Е. В. Щерба, Г. А. Литвинов, М. В. Щерба

Омский государственный технический университет, г. Омск, Россия

E. V. Shcherba, G. A. Litvinov, M. V. Shcherba

Omsk State Technical University, Omsk, Russia

Аннотация. Существующие протоколы маршрутизации для самоорганизующихся сетей и их многопутевые расширения обладают рядом уязвимостей и могут быть подвержены воздействию узлов нарушителей. В работе рассматривается актуальная уязвимость многопутевого расширения протокола маршрутизации OLSR, связанная с построением пересекающихся маршрутов, и предложен подход к противодействию указанной уязвимости. В частности, для обеспечения безопасности в рамках рассматриваемого многопутевого расширения предлагается использовать репутационную метрику маршрутов и специальный алгоритм для поиска заданного числа непересекающихся маршрутов с максимальным значением репутации. Основная идея предложенного алгоритма продемонстрирована на примере и представлена оценка его временной сложности.

Ключевые слова: многопутевая маршрутизация, сетевая безопасность, самоорганизующиеся сети, OLSR.

DOI: 10.25206/2310-9793-7-4-105-109

i Надоели баннеры? Вы всегда можете отключить рекламу.