CC BY
137
Обзорная статья
УДК 004.056+681.322
ББК 32.81-051+32.973
А 64
DOI: 10.53598/2410-3225-2022-3-306-77-85
Анализ типовых уязвимостей при построении веб-приложений
(Рецензирована)
1 2
Михаил Михайлович Путято , Александр Самвелович Макарян ,
3 3
Василий Васильевич Лещенко , Валерия Олеговна Немчинова
1 2 3 4 Кубанский государственный технологический университет, Краснодар, Россия
1 michael.putyato@kubstu.ru
2 makaryan@kubstu.ru
3 v.lsch@mail.ru
4 nemcinova.valeriya@yandex.ru
Аннотация. Веб-технологии позволяют упростить бизнес процессы. Невозможно представить современную организацию, не использующую веб-страницу или веб-приложение. Чтобы максимально использовать преимущества веб-технологий, ресурсы должны быть максимально доступны для целевой аудитории, однако в этом случае они доступны также злоумышленникам. В данной статье производится анализ типовых угроз и описываются типовые уязвимости, возникающие при разработке веб-приложения.
Ключевые слова: угроза, уязвимость, веб-приложение, кибербезопасность, кибератака
Review Article
Analysis of typical vulnerabilities in building web applications Mikhail M. Putyato1, Aleksandr S. Makaryan2,
3 3
Vasiliy V. Leshchenko , Valeriya O. Nemchinova
1 2' 3' 4 Kuban State University of Technology, Krasnodar, Russia
1 michael.putyato@kubstu.ru
2'makaryan@kubstu.ru
3 v. lsch@mail. ru
4 nemcinova.valeriya@yandex.ru
Abstract. Web technologies make it possible to simplify business processes. It is impossible to imagine a modern organization that does not use a web page or a web application. To maximize the benefits of web technologies, resources should be as accessible as possible to the target audience, but in this case, they are also available to attackers. This article analyzes typical threats and describes typical vulnerabilities that arise during the development of a web application.
Keywords: threat, vulnerability, web application, cybersecurity, cyberattack
Введение
Атаки на веб-приложения - один из наиболее популярных методов кибератак. По данным исследования PositiveTechnologies за 2020-2021 год, 17% от общего числа атак пришлось на эксплуатацию уязвимостей и недостатков защиты веб-приложений. Злоумышленники могут использовать скомпрометированные сайты в различных целях: для распространения вредоносного программного обеспечения (ПО), кражи конфиденциальных данных, несанкционированного внедрения информации, для мошенничества или проникновения во внутреннюю инфраструктуру компании [1].
Если говорить об угрозах, которые несут в себе сайты, то можно выделить следующее:
- В абсолютном большинстве веб-приложений злоумышленники имеют возможность проводить атаки на пользователей. Подобные атаки могут привести к распространению вредоносного ПО, перенаправлению на сайты злоумышленников или краже данных с использованием методов социальной инженерии;
- Две трети приложений оказались подвержены раскрытию персональных данных, а около половины - утечкам учетных данных пользователей. Утечки важных данных имели место в 91% веб-приложений. Чаще всего раскрывались идентификаторы пользователей (в 84% случаев). (По данным Positive Technologies.);
- Возможность несанкционированного доступа была отмечена в 84% веб-приложений. При этом полный контроль над сайтом удалось получить в 5% случаев. (По данным Positive Technologies.)
На рисунке 1 представлены самые распространенные уязвимости, обнаруженные за период 2020-2021 гг. [2, 3].
Недостатки контроля доступа 100%
Некорректная настройка параметров безопасности
Недостатки идентификации и аутентификации Небезопасное проектирование Внедрение
Криптографические недостатки Уязвимые и устаревшие компоненты Недостатки проверки целостности ПО и данных Недостатки журналирования и мониторинга Подделка запроса со стороны сервера ISSRF)
О% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Рис. 1. Распространенность уязвимостей в 2020-2021 году Fig. 1. Vulnerability prevalence in 2020-2021
По результатам исследования можно сделать вывод, что 83% веб-приложений имеют уязвимости, связанные с неправильной конфигурацией механизмов защиты (security misconfiguration). В 48% исследованных приложений было обнаружено отсутствие заголовка Strict-Transport-Security (CWE-523), который обязывает браузер пользователя использовать протокол HTTPS для безопасной передачи данных. Наличие настроенного заголовка обеспечивает защищенную передачу данных, в том числе конфиденциальных, что, в свою очередь, позволяет избежать атак типа man in the middle. В 34% приложений неправильно сконфигурирован заголовок X-Content-Type-Options (CWE-16), что делает их уязвимыми для атак с подменой контента, например, для меж-сайтового выполнения сценариев.
Во всех веб-приложениях, исследованных в 2020-2021 г., были выявлены уязвимости, относящиеся к классу нарушения контроля доступа (Broken Access Control). Наличие подобных уязвимостей в веб-приложении может стать причиной несанкционированного доступа к конфиденциальной информации, модификации или удаления данных, а также несанкционированного доступа к личному кабинету или функциональности приложения.
Таким образом, можно сделать вывод, что обеспечение безопасности веб-приложений является одним из актуальнейших направлений по защите не только персональных данных пользователей, но и также различных активов компаний [4].
Типовые уязвимости веб-приложений
Онлайн-сообщество OWASP составило список десяти наиболее распространен-
ных уязвимостях, встречающихся при работе с веб-приложениями. Благодаря этому списку пользователи будут осведомлены о наиболее критичных рисках и угрозах, их последствиях и мерах противодействия. Обновляется список OWASP каждые три-четыре года (последний раз он был выпущен в 2021 году).
10 основных уязвимостей OWASP 2021 года:
- A01:2021 - Нарушение контроля доступа;
- A02:2021 - Сбои в криптографии;
- A03:2021 - Внедрение кода;
- A04:2021 - Небезопасное проектирование;
- A05:2021 - Небезопасная конфигурация;
- A06:2021 - Уязвимые и устаревшие компоненты;
- A07:2021 - Ошибки идентификации и аутентификации;
- A08:2021 - Нарушение целостности данных программного обеспечения;
- A09:2021 - Ошибки мониторинга и недостаточное ведение журналов;
- A10:2021 - Подделка запросов со стороны сервера [5].
Нарушение контроля доступа
В области безопасности сайтов контроль доступа - это ограничение доступа посетителей к отдельным разделам или страницам [6].
В наши дни - это проблема почти всех основных систем управления содержимым (CMS). По умолчанию доступ к странице входа администратора предоставлен всем.
Вот несколько примеров того, что включено в понятие «доступ»:
- Доступ к панели управления хостингом/административной панели.
- Доступ к серверу через FTP/SFTP/SSH;
- Доступ к административной панели сайта;
- Доступ к другим приложениям на вашем сервере;
- Доступ к базе данных.
Злоумышленники могут использовать недостатки авторизации в следующих целях:
- Доступ к неавторизованным функциям и/или данным;
- Просмотр конфиденциальных файлов;
- Изменение прав доступа.
Каковы риски нарушения контроля доступа?
Вот несколько примеров того, что, согласно OWASP, может случиться при нарушении контроля доступа.
Сценарий № 1. Приложение использует непроверенные данные в вызове SQL, который обращается к информации об учетной записи:
pstmt.setString(1,request.getParameter("acct")); ResultSetresults=pstmt.executeQuery( ).
Злоумышленник просто изменяет параметр "acct" в браузере, чтобы отправить любой номер учетной записи, который он хочет [2, 5, 7].
Сценарий № 2. Злоумышленник просто просматривает целевые URL-адреса. Для доступа к странице администратора необходимы права администратора.
http://example.com/app/getappInfo
http://example.com/app/admin_getappInfo
Технические рекомендации OWASP по предотвращению нарушения контроля доступа:
- Запрет должен быть по умолчанию, за исключением общедоступных ресурсов;
- Внедрение механизмов управления доступом и использование их на всех этапах работы приложения. Минимизация использования CORS;
- Элементы управления доступом должны обеспечивать право собственности на записи. Не следует допускать того, чтобы пользователь мог создавать, читать, об-
новлять или удалять любую запись;
- Отключение списка каталогов веб-сервера и убедиться, что метаданные файлов (например, .git) и файлы резервных копий отсутствуют в корневом каталоге вебсервера;
- Регистрация сбоев контроля доступа, при необходимости (например, при повторяющихся сбоях) информирование администраторов;
- Ограничение частоты запросов к API для минимизации ущерба от автоматизированных атак;
- Токены JWT должны быть аннулированы на сервере после выхода из системы;
- Разработчики и тестировщики программного обеспечения должны включать функциональные блоки управления доступом и интеграционные тесты [2, 5].
Сбои в криптографии
Незащищенность критичных данных является одной из наиболее распространенных уязвимостей. Речь идет в первую очередь о конфиденциальных данных, которые требуют особого внимания и криптографической защиты.
Примеры конфиденциальных данных, требующих защиты:
• Номера кредитных карт;
• Пароли учетных записей;
• Информация, позволяющая идентифицировать личность (PII);
• Другая личная информация.
Существует два типа данных:
• Хранимые данные - данные в состоянии покоя;
• Передаваемые данные - данные, которые передаются между серверами или в веб-браузеры.
Оба типа данных должны быть надежно защищены. Один из способов защитить передаваемые данные на сайте - это наличие SSL сертификата.
SSL - это аббревиатура от Secure Sockets Layer. Это стандартная технология безопасности для установления зашифрованного соединения между сервером и браузером. Сертификаты SSL помогают защитить целостность данных, передаваемых между хостом (сервером или брандмауэром) и клиентом (браузером).
Вот несколько примеров того, что может случиться при раскрытии конфиденциальных данных.
Сценарий № 1. Приложение автоматически шифрует номера кредитных карт в базе данных. Однако при получении эти данные автоматически расшифровываются, что позволяет уязвимости SQL-внедрения получать номера кредитных карт в виде открытого текста.
Сценарий № 2. Сайт не использует TLS для всех страниц или поддерживает слабое шифрование. Злоумышленник отслеживает сетевой трафик (например, в незащищенной беспроводной сети), понижает уровень соединения с HTTPS до HTTP, перехватывает запросы и крадет файлы cookie сеанса пользователя. Затем злоумышленник повторно воспроизводит эти файлы cookie и перехватывает сеанс пользователя (уже ау-тентифицированный), получая доступ к личным данным пользователя.
Сценарий № 3. База данных паролей использует простые хэши для хранения паролей всех пользователей. Ошибка загрузки файла позволяет злоумышленнику завладеть базой данных паролей [2, 3].
Внедрение кода
При инъекционной атаке злоумышленник внедряет недопустимые данные в веб-приложение с намерением заставить его сделать нечто, для чего приложение не было разработано/запрограммировано.
Возможно, наиболее распространенной разновидностью этой уязвимости систе-
мы безопасности является внедрение кода через SQL-запрос, использующий ненадежные данные. Один из примеров от OWASP:
String query = "SELECT * FROM accounts WHERE custID = = '" + request.getParameter( "id") + "'".
Главной причиной уязвимости, связанной с внедрением кода, является отсутствие проверки и очистки данных, используемых веб-приложением. Это означает, что подобная уязвимость может присутствовать практически в любом типе технологий [8].
Технические рекомендации OWASP по предотвращению угрозы SQL-внедрения:
- Для предотвращения SQL-внедрения данные требуется хранить отдельно от команд и запросов;
- Предпочтительным вариантом является использование безопасного API, который полностью избегает применения интерпретатора или предоставляет параметризованный интерфейс. Допускается также переход на использование инструментов объектно-реляционного отображения (ORM). Примечание: даже при параметризации хранимые процедуры все равно допускают SQL-внедрение, если PL/SQL или T-SQL объединяют запросы и данные;
- Использовать положительную проверку («белый список») входных данных на стороне сервера. Это, однако, не дает полную защиту, поскольку многим приложениям требуются специальные символы;
- Для любых остаточных динамических запросов экранировать специальные символы, используя синтаксис экранирования для этого интерпретатора. Примечание: структуры SQL (имена таблиц, имена столбцов и т.д.) не могут быть экранированы, поэтому имена структур, задаваемые пользователем, опасны. Это распространенная проблема в программном обеспечении для написания отчетов;
- Использовать LIMIT и другие элементы управления SQL в запросах, чтобы предотвратить массовое раскрытие записей в случае SQL-внедрения.
Инъекционные атаки представляют собой серьезный риск для владельцев сайтов, так как используют лазейки в системе безопасности для кражи конфиденциальной информации.
Небезопасное проектирование
Небезопасное проектирование - это широкая категория, представляющая различные недостатки, выраженные как «неэффективное управление проектированием». Одним из факторов, способствующих небезопасному проектированию, является отсутствие в понимании бизнес-рисков, присущих разрабатываемому программному обеспечению или системе, и, следовательно, неспособность определить, какой уровень безопасности требуется и для чего эта безопасность нужна [9].
Для осуществления безопасного проектирования необходимо объяснить бизнесу все риски при отсутствии должного внимания к безопасной разработке веб-приложения, включая требования к защите, касающиеся конфиденциальности, целостности, доступности и подлинности всех активов данных и ожидаемой бизнес-логики.
Безопасное программное обеспечение требует жизненного цикла безопасной разработки, формы безопасного шаблона проектирования, методологии, библиотеки защищенных компонентов, инструментов и моделирования угроз.
Небезопасная конфигурация
Небезопасная конфигурация - это параметры безопасности, которые не определены надлежащим образом в процессе настройки веб-приложения. Вектор атаки злоумышленника нацелен на получение доступа к учетным записям по умолчанию, к неиспользуемым страницам, к незащищенным файлам и каталогам и т.д., для того чтобы получить несанкционированный доступ к системе.
Неправильная настройка безопасности может происходить на любом уровне стека приложений:
- сетевые службы;
- веб-сервер;
- база данных;
- предустановленные виртуальные машины;
- контейнеры;
- хранилище.
Такие недостатки часто дают злоумышленникам несанкционированный доступ к некоторым системным данным или функциям, а иногда такие недостатки приводят к полному краху системы.
Для предотвращение такого типа угроз необходимо:
- Сегментировать архитектуру приложения, тем самым обеспечив эффективное и безопасное разделение между компонентами или клиентами с помощью сегментации, контейнеризации или облачных групп безопасности (ACL);
- Настроить автоматизированный процесс проверки эффективности конфигураций и настроек во всех средах;
- Отключить ненужные функции, компоненты, документацию и образцы.
Уязвимые и устаревшие компоненты
Эта категория является известной проблемой, риски которой сложно оценить, так как уязвимости относятся к установленным компонентам системы, взаимодействующих с веб-приложением. Для предотвращения угроз, связанных с уязвимыми и устаревшими компонентами, необходимо:
- Удалить неиспользуемые зависимости, ненужные функции, компоненты, файлы и документацию;
- Осуществлять непрерывную инвентаризацию версий как клиентских, так и серверных компонентов (например, фреймворков, библиотек) и их зависимостей с использованием таких инструментов, как OWASP, retire.js, и т.д. Постоянный контроль источников, таких как «общие уязвимости и риски» (CVE) и «национальная база данных уязвимостей» (NVD), на предмет уязвимостей в компонентах, установленных в системе;
- Необходимо приобретать компоненты только из официальных источников по защищенным ссылкам. Отдавать предпочтение подписанным пакетам, чтобы уменьшить вероятность включения измененного вредоносного компонента;
- Осуществлять наблюдение за библиотеками и компонентами, которые не поддерживаются или не создают исправлений безопасности для более старых версий [2, 5, 10].
Ошибки идентификации и аутентификации
Ошибки идентификации и аутентификации могут позволить злоумышленнику использовать ручные и/или автоматические методы, чтобы попытаться получить контроль над любой учетной записью в системе или, что еще хуже, полный контроль над системой.
Нарушение аутентификации обычно связано с логическими проблемами, возникающими в механизме аутентификации приложения, такими как плохое управление сеансом, при котором происходит перечисление имен пользователей. В этом случае злоумышленник использует методы перебора, чтобы угадать данные пользователей системы.
Второй наиболее распространенной формой этой уязвимости является разрешение пользователям использовать подбор комбинации имени пользователя и пароля для этих страниц.
Технические рекомендации OWASP заключаются в следующем:
- По возможности внедрять многофакторную аутентификацию, чтобы предотвратить автоматизированные атаки злоумышленников;
- Не использовать учетные данные по умолчанию, особенно это касается учетных данных администраторов;
- Внедрять проверку надежности паролей, включая тестирование новых или измененных паролей по списку из 10000 самых распространенных паролей;
- Согласовать политику длины, сложности и ротации паролей с рекомендациями NIST800-63B или другими современными политиками безопасности паролей;
- Убедиться, что пути регистрации и восстановления учетных данных защищены от атак перечисления учетных записей;
- Ограничивать или задерживать по времени неудачные попытки входа в систему. Регистрировать все сбои и предупреждать администраторов при обнаружении перебора учетных записей или других атак.
Нарушение целостности данных программного обеспечения
Сложность архитектур в современных циклах обновления-выпуска часто вынуждает разработчиков использовать плагины, модули и библиотеки из общедоступных репозиториев, ненадежных источников и сетей доставки контента. Из-за таких сложностей возникают сбои целостности программного обеспечения и данных (классифицируемые как недостатки проектирования), когда критические обновления данных и программного обеспечения добавляются в конвейер доставки без проверки их целостности. При отсутствии надлежащей проверки сбои в целостности программного обеспечения и данных делают приложения уязвимыми для несанкционированного раскрытия информации, компрометации системы или внедрения вредоносного кода [7].
Современные конвейеры доставки программного обеспечения включают функцию автоматического обновления, которая упрощает жизненный цикл путем загрузки обновлений и их применения без соответствующих разрешений. Субъекты угроз могут использовать такие функциональные возможности, выполняя атаку «человек посередине» для внедрения вредоносного кода в конвейер во время процесса обновления. Это приводит к тому, что поврежденные полезные нагрузки развертываются и выполняются непосредственно при установке приложений.
Для предотвращения таких угроз необходимо:
• Использовать цифровые подписи или аналогичные механизмы для проверки того, что программное обеспечение или данные получены из проверенного источника и не были изменены во время доставки;
• Необходимо убедиться, что библиотеки и зависимости, такие как npm или Maven, используют надежные хранилища;
• Убедиться, что существует процесс проверки изменений кода и конфигурации, чтобы свести к минимуму вероятность того, что вредоносный код или конфигурация могут быть внедрены в программный конвейер;
• Убедиться, что конвейер CI/CD имеет надлежащий контроль доступа, чтобы обеспечить целостность кода, проходящего через процессы сборки и развертывания.
Ошибки мониторинга и недостаточное ведение журналов
Сбои в ведении журнала безопасности и мониторинге часто являются причиной серьезных инцидентов безопасности. Неспособность должным образом регистрировать, отслеживать или сообщать о событиях безопасности, таких как попытки входа в систему, затрудняет обнаружение подозрительного поведения и значительно повышает вероятность того, что злоумышленник сможет успешно использовать уязвимость в приложении. Недостаточное ведение журнала, мониторинг или отчетность делают приложение уязвимым для атак, нацеленных на любую часть стека приложений.
Для предотвращения таких угроз необходимо:
- Убедиться, что все ошибки входа в систему, контроля доступа и проверки ввода на стороне сервера можно зарегистрировать с достаточным пользовательским контекстом для выявления подозрительных процессов с вредоносной активностью;
- Убедиться, что данные журнала закодированы правильно, чтобы предотвратить инъекции или атаки на системы ведения журнала или мониторинга;
- Команды DevSecOps должны наладить эффективный мониторинг и оповещение для быстрого обнаружения подозрительных действий и реагирования на них;
- Разработать или принять план реагирования на инциденты и восстановления после них [11, 12].
Подделка запросов со стороны сервера
Уязвимость подделки запросов на стороне сервера (SSRF) позволяет злоумышленнику заставить сервер выполнять непреднамеренные сетевые запросы. Как и подделка межсайтовых запросов (CSRF), уязвимость SSRF злоупотребляет другой системой для выполнения вредоносных действий. В то время как для исполнения CSRF необходимо взаимодействие с пользователем (человеком), SSRF же, напротив, взаимодействует непосредственно с основным сервером приложений. Как и в случае с CSRF, уязвимости SSRF могут различаться по воздействию и методам выполнения.
В зависимости от того, каким образом организован веб-сайт, возможно отправлять HTTP-запросы во внутреннюю сеть или на внешние адреса, к которым имеет доступ сервер веб-приложений [13]. Способность уязвимого сервера отправлять запросы определяет, что возможно делать с SSRF. Некоторые крупные веб-сайты имеют брандмауэры, которые запрещают доступ внешнего Интернет-трафика к внутренним серверам: например, веб-сайт будет иметь ограниченное количество общедоступных серверов, которые получают HTTP-запросы от посетителей и отправляют запросы на другие серверы, которые общедоступны.
Примечания
1. Информатика: Введение в информационную безопасность / М.А. Вус, В.С. Гусев, Д.В. Долгирев, А.А. Молдовян. Санкт-Петербург: Юридический центр Пресс, 2004. 216 с.
2. Лещенко В.В. Разработка интерактивной системы оценки защищенности веб-приложений с многоуровневой доменной структурой: выпускн. квалиф. работа 10.04.01. Краснодар, 2022. 142 с.
3. The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws, 2nd Edition. URL: https://clck.ru/rbWSv (access date: 25/08/2022)
4. Милославская Н.Г., Сенаторов М.Ю. Управление рисками информационной безопасности. 2-е изд. Москва: Горячая линия - Телеком, 2014. 130 с.
5. Хоффман Э. Безопасность веб-приложений. 2022. 250 с. URL: https://www.piter.com/product/bezopasnost-veb-prilozheniy (дата обращения: 25.04.2022)
6. Термины и определения в области информационной безопасности / С.А. Комов, В.В. Ракитин, С.Н. Родионов [и др.]. Москва: АС-Траст, 2009. 304 с.
7. Бондарев В. Введение в информационную безопасность автоматизированных систем. Москва: МГТУ им. Н.Э. Баумана, 2016. 250 с.
8. Казарин О.В., Забабурин А.С. Программно-аппаратные средства зашиты информации. Защита программного обеспечения: учебник и практикум для ВУЗов. Москва: Юрайт, 2018. 312 с.
9. Щеглов А.Ю., Щеглов К.А. Защита информации: основы теории: учеб. для бакалавра и магистратуры. Москва: Юрайт, 2018. 309 с.
10. Путято М.М., Макарян А.С. Подходы к построению адаптивной системы защиты на основе корреляционного анализа статистических характеристик инцидентов информационной безопасности // Научные труды КубГТУ. 2022. № 2. C. 148-162. URL: https://ntk.kubstu.ru/data/mc/0088/4382.pdf (дата обращения: 17.08.2022)
11. Sammeer N., Umashankar G. Approach to an Efficient Vulnerability Management Program // International Journal of Innovative Research in Computer and Communication Engineering.
2017. No. 5 (6). P. 11241-11244. URL:
https://www.researchgate.net/publication/318316549_Approach_to_an_Efficient_Vulnerability_Mana gement_Program (access date: 17/08/2022)
12. Building Secure Software: How to Avoid Security Problems the Right Way / published by G. McGraw, J. Viega. URL: https://clck.ru/rbVvy (access_date: 25/08/2022)
13. Организационное и правовое обеспечение информационной безопасности: учеб. и практ. для бакалавриата и магистратуры / под ред. Т.А. Поляковой, А.А. Стрельцова. Москва: Юрайт, 2016. 325 с.
References
1. Informatics: Introduction to information security / M.A. Vus, V.S. Gusev, D.V. Dolgirev, A.A. Moldovyan. St. Petersburg: Legal Center Press, 2004. 216 p.
2. Leshchenko V.V. Development of an interactive system for evaluating the security of web applications with a multilevel domain structure: a graduate qualification work 10.04.01. Krasnodar, 2022.142 p.
3. The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws, 2nd Edition. URL: https://clck.ru/rbWSv (access date: 25/08/2022)
4. Miloslavskaya N.G., Senatorov M.Yu. Information security risk management. 2nd ed. Moscow: Hotline - Telecom, 2014. 130 p.
5. Hoffman A. Web application security. 2022. 250 p. URL: https://www.piter.com/product/bezopasnost-veb-prilozheniy (access date: 25/04/2022)
6. Terms and definitions in the field of information security / S.A. Komov, V.V. Rakitin, S.N. Rodionov [et al.]. Moscow: AS-Trust, 2009. 304 p.
7. Bondarev V. Introduction to information security of automated systems. Moscow: MSTU of N.E. Bauman, 2016. 250 p.
8. Kazarin O.V., Zababurin A.S. Hardware and software for information protection. Software protection: a textbook and workshop for universities. Moscow: Urait, 2018. 312 p.
9. Shcheglov A.Yu., Shcheglov K.A. Information security: fundamentals of theory: a textbook for bachelor's and master's degrees. Moscow: Urait, 2018. 309 p.
10. Putyato M.M., Makaryan A.S. Approaches to the construction of an adaptive protection system based on the correlation analysis of the statistical characteristics of information security incidents // Scientific works of KubGTU. 2022. No. 2. P. 148-162. URL: https://ntk.kubstu.ru/data/mc/0088/4382.pdf (access date: 17/08/2022)
11. Sammeer N., Umashankar G. Approach to an Efficient Vulnerability Management Program // International Journal of Innovative Research in Computer and Communication Engineering. 2017. No. 5 (6). P. 11241-11244. URL:
https://www.researchgate.net/publication/318316549_Approach_to_an_Efficient_Vulnerability_Mana gement_Program (access date: 17/08/2022)
12. Building Secure Software: How to Avoid Security Problems the Right Way / published by G. McGraw, J. Viega. URL: https://clck.ru/rbVvy (access_date: 25/08/2022)
13. Organizational and legal support of information security: a textbook and workshop for undergraduate and graduate students / ed. by T.A. Polyakova, A.A. Streltsov. Moscow: Urait, 2016. 325 p.
Авторы заявляют об отсутствии конфликта интересов. The authors declare no conflicts of interests.
Статья поступила в редакцию 26.08.2022; одобрена после рецензирования 17.09.2022; принята к публикации 18.09.2022.
The article was submitted 26.08.2022; approved after reviewing 17.09.2022; accepted for publication 18.09.2022.
© М.М. Путято, А С. Макарян, В В. Лещенко, В.О. Немчинова, 2022
