CC BY
60
СИСТЕМЫ И
ПРОЦЕССЫ
УПРАВЛЕНИЯ
УДК 004.056.53
БЕЗПЕКА 1НТЕРНЕТ РЕСУРС1В: АНАЛ1З РОЗПОВСЮДЖЕНОСТ1 ЗАГРОЗ ТА ТЕХНОЛОГИ ЗАХИСТУ
СЛОБОДЯНЮК О.В., ХАХАНОВА А.В., КОМОЛОВ Д.И._
Описуються основш щдходи до класифжаци ввдомих вразливостей Be6-pecypciB. Аналiзуeться активнiсть найбiльш розповсюджених типiв загроз на основi звтв компанiй, що займаються монiторингом шци-дентiв порушення безпеки веб-ресyрсiв. Розглядають-ся основш технологи захисту вiд можливих реалiзацiй погроз.
Ключовi слова: yразливiсть, загроза, OWASP, WASC, WAF.
Keywords: vulnerability, threat, OWASP, WASC, WAF. Вступ
Питання захисту веб-ресуршв вщ несанкцюно-ваних втручань ззовш е одшею ¡з найбшьших проблем забезпечення !х сталого функцюнуван-ня. Сучасний веб-ресурс являе собою досить складну програмну структуру, що включае у себе цший ряд технологш 1з модульним тдхо-дом та можливютю постшно! модифшаци й вдосконалення. Як наслщок цього, бшьшють веб-сайпв та веб-сервгав характеризуются цшим рядом вразливостей, через яю зловмисни-ки мають реальш можливост проводити атаки на найр1зноман1тн1ш1 сайти ¡з використанням досить широкого шструментарда. Даш вразли-вост викликаш як ненавмисно допущеними помилками розробниками на стади проектуван-ня, так i недосконалютю технологш, що були використаш при створеннi ресурсу. Окремо можна видшити зумисно допyщенi помилки, яю генеруються недобросовiсними розробниками, планують у подальшому використати !х для несанкцюнованого втручання у роботу ресурсу. Як правило ус системи керування вмютом (CMS) та фреймворки, що використовуються при створенш веб-сайтiв, мають велию спшьно-ти шанyвальникiв, завдяки яким вдаеться вчас-но локалiзyвати та виправити помилки у тдсис-темах безпеки. Однак часто бувае так, що служ-би пiдтримки ресуршв вчасно не проводять заходи щодо оновлення програмних модyлiв, не забезпечують належного контролю за даними, не виконують перевiрки доступу та шше. Бшь-шiсть вразливостей, що використовуються сере-дньостатистичним зловмисником, не е архюкла-
дними i не вимагають високо! квалiфiкацil для !х застосування.
1. Ризики безпеки веб-застосунк1в
При проведеннi аналiзy рiвня захищеност веб-ресурсу найчастiше використовуеться поняття ризику та вразливостi. Так, коли говорять про нездатшсть шформацшно! системи протидiяти зовнiшнiм втручанням або протистояти реалiза-ци певних загроз, то це маеться на yвазi поняття вразливосп (англ. vulnerability) [5]. Щд ризиком, згiдно з документом «Основш поняття. НД ТЗ1 1.1-003-99: «Термшолопя в галyзi захисту шфо-рмаци в комп'ютерних системах вiд несанкцюнованого доступу» розумдать фyнкцiю ймовiр-ностi реалiзацil певно! загрози, виду i величини завданих збиткiв [5]. Також дуже часто оргашза-цп, що займаються монiторингом та облiком iнцидентiв, пов'язаних з кiбербезпекою, викори-стовують поняття загрози (англ. threat). Збором вщомостей, монiторингом активностi та класифшащею вiдомих чи нових вразливостей займаеться цший ряд оргашзацш та об'еднань, серед яких варто видшити вщкритий проект забезпечення безпеки веб-застосунюв (Open Web Application Security Project, OWASP), консорщум безпеки веб- застосунюв (Web Application Security Consortium, WASC), науково-дослщницький центр корпорацп MITRE (National Cybersecurity Center of Excellence's, NCCoE's)), центр комп'ютерно! безпеки yнiверситетy Карне-гi Меллон (Computer Emergency Response Team Coordination Center, CERT/CC), центр ресyрсiв комп'ютерно! безпеки уряду США (Computer Security Resource Center, CSRC) та шшь Звичай-но кожна серйозна оргашзащя, що займаеться питаннями шформацшно! безпеки веб-застосунюв, мае сво! розроблеш методики вияв-лення загроз та протиди ризикам !хшх впливiв. Однак переважна бшьшють користуються кла-сифкаторами OWASP, WASC TD та CWE/SANS.
2. Класифжащя ризикчв OWASP
OWASP являе собою проект забезпечення безпеки веб- застосунюв. Спшьнота OWASP е повнютю вiдкритою й ставить собi за мету сприяння оргаш-защям у розробцi, придбаннi та шдтримщ засто-сyнкiв, безпецi яких можна довiряти. Структурно спiльнота складаеться з корпорацш, освiтнiх ор-ганiзацiй та приватних осiб зi всього свггу. Для вирiшення основних задач по збору й класифшаци вразливостей веб-застосунюв члени спiльноти працюють над створенням наукових статей, нав-чальних пошбниюв, документаци, iнстрyментiв та технологiй, яю потiм викладають у вiльний доступ. Також OWASP пропонуе безкоштовний доступ до шструменлв та стандарта безпеки засто-сyнкiв, детальних рекомендацiй щодо тестування,
розробки та ан^зу безпеки програм. Один раз на три роки спшьнота публшуе зведе-ний рейтинг ТОП-10 [7] найнебезпечнiших ризи-KiB (вразливостей), який вщображае сучаснi тен-денци безпеки веб-застосункiв. OWASP TOP-10 - це шформащйний документ, який широко ви-користовуеться багатьма органiзацiями. Вш ак-туальний в рамках програм винагород за виявле-нi вразливосп (bug bounty programs), а також для класифшаци вразливостей за рiвнем небезпеки. Остання версiя документу була опублшована у 2017 роцi i мiстить такi типи найнебезпечнiших ризиюв веб-застосункiв:
1) Вставка iн'екцiй (A1:2017 - Injection).
2) Некоректна аутентифшащя та управлiння сеансами (A2:2017 - Broken Authentication).
3) Витш критичних даних (A3:2017 - Sensitive Data Exposure).
4) Вставка XML шструкцш (A4:2017 - XML External Entities (XXE).
5) Порушений контроль доступу (A5:2017 -Broken Access Control).
6) Неправильна конфнуращя безпеки (A6:2017 -Security Misconfiguration).
7) Мiжсайтове виконання сценарпв (A7:2017 -Cross-Site Scripting (XSS).
8) Небезпечна десерiалiзацiя (A8:2017 - Insecure Deserialization).
9) Використання компонентiв з вiдомими враз-ливостями (A9:2017 - Using Components with Known Vulnerabilities).
10) Недостатне журналювання та монiторинг (A10:2017 - Insufficient Logging&Monitoring) [7]. Якщо провести кшькюний аналiз зафiксованих протягом 2017 року вразливостей у базi OWASP (рис. 1), то можна бачити, що кшькють випадкiв мiжсайтового виконання сценарив сумарно пере-вищуе ус iншi разом взятi типи вразливостей i доходить до 2 млн.
'.-'n.i«Lnl -Т Count hy Typ es - OWASP Data Call
; «h*r T,pi-: ii| VuhwuHHw* 111'::3 MdU AHlFHimwt '.UlrwrjWinp^t; ИВ ; Г mvjiianiJ Injwtinn iAjtir.Mb.ni«; ¡KU L fryptnfiaohk lAjlnfnbjql«: 4641 ViUiity Mlwmliflirjllrtl Vulwiabilftiri; 11 К 51 >jlh lufcnal Vuhbirjüililki; Ii«J Ц XML L'iU'irul Hjjly InjL4I kn Л>.'IV МоЫНаЦ 4ИИ UnthHkrdHed™tVLifrwnbiNtici: STD?
SOLInfidimVLifnndbjNtinilBZBlD
üniAi Scrifrtinf [töä] VJnerabititi«; 192141 *
D 1000073 1ЛШП
Рис. 1. Кшыасть зафжсованих у 2017 рощ вразливостей за 1хшми типами зпдно з даними OWASP Дана статистика кардинально вiдрiзняеться вiд позицiй у ТОП - 10, оскшьки при складанш рейтингу OWASP використовуе методологда, що основана на методицi ощнки ризикiв. Для кожно1
позици рейтингу ощнюеться типовий ризик, який кожне слабке мюце може викликати у типовому веб-застосунку, розглядаючи фактори, що впливають на ймовiрнiсть та на наслщки для кожного слабкого мюця. Потiм складаеться рейтинг Топ-10 вщповщно до слабких мюць, що, як правило, стають причиною найбшьш значущих ризикiв для застосунку. Методика ощнки ризиюв OWASP визначае численш фактори для розраху-нку ризиюв визначено! уразливостi. Однак Топ 10 призначений для розгляду загальних випадюв, а не конкретних вразливостей у реальному засто-сунку. Саме тому OWASP школи не прагне дося-гти точноси, аналопчно! тiй, яку можуть досягти власники систем при розрахунку ризиюв для сво!х застосункiв. Зазначена методика включае в себе три фактори, що впливають на ймовiрmсть для кожного слабкого мюця (поширенють, мож-ливiсть виявлення та легкють вторгнення), та один фактор, що впливае на наслщки (технiчнi наслщки). Поширенiсть слабкого мiсця - це фактор, який, як правило, не потрiбно розраховува-ти. Даш щодо поширеностi отримують вiд рiзних органiзацiй i потiм обраховують з цих даних се-редне значення для визначення ймовiрностi !х включення у Топ-10 за поширенiстю. По^м цi данi поеднують з шшими двома факторами ймо-вiрностi (можливють виявлення та легкiсть вторгнення) з метою розрахунку рейтингу ймовiрнос-т кожного слабкого мiсця. Пюля цього отриманi результати множать на розраховаш технiчнi нас-лiдки для кожно! позицп i, як результат, отримують загальний рейтинг ризиюв по кожнiй позици Топ-10 [7].
3. Класифжащя загроз WASD
The WASC Threat Classification - це результати спшьно! роботи членiв консорщуму безпеки веб-застосункiв, якi спрямоваш на опис та упорядку-вання вщомих загроз безпеки веб-сайтiв. Даний проект був створений для розробки та популяри-заци стандартно! термiнологii опису зазначених проблем. Це дае можливють розробникам засто-сунюв, спецiалiстам в обласп безпеки, виробни-кам програмних продукпв та аудиторам викори-стовувати спшьну термiнологiчну базу для взае-модп. Цiлями учасникiв консорцiуму е: визначення вшх вiдомих класiв атак на веб-застосунки; узгодження назв для кожного з кла-сiв; розробка структурованого пiдходу до класи-фiкацii атак; створення документацii, що мютить загальний опис кожного з клашв. Згiдно з класифiкатором атаки на веб-застосунки подшяються на:
1. Аутентифшащя (Authentication) - атаки, як спрямованi на використовуванi веб-застосунком методи перевiрки iдентифiкатора користувача, служби або програми. Аутентифiкацiя викорис-
товуе як мшмум один з трьох Mexarn3MiB (фак-TopiB): «щось, що ми маемо», «щось, що ми зна-емо» або «щось, що ми е». Атаки даного класу спрямоваш на обхвд або експлуатащю вразливо-стей в механiзмах реатзаци аутентифiкацiï веб-cepBepiB.
2. Авторизащя (Authorization) - атаки, що на-пpавлeнi на методи, якi використовуються вебсервером для визначення того, чи мае користу-вач, служба або застосунок необхщш для вико-нання опepацiï змiни дозволiв. Багато веб-сайпв дозволяють тiльки певним користувачам отри-мувати доступ до деякого вмюту або функцiй програми. Доступ шшим користувачам повинен бути обмежений. Використовуючи piзнi тeхнiки, зловмисник може шдвищити cвоï пpивiлeï i отримати доступ до захищених pecуpciв.
3. Атаки на кл1ент1в (Client-side Attacks) - атаки на коpиcтувачiв веб-сервера. Пщ час вщвщуван-ня сайту мiж користувачем i сервером встанов-люються довipчi вiдноcини як в технолопчному, так i в психолопчному аcпeктi. Користувач оч> куе, що сайт буде надавати йому лептимний вмicт. Кpiм того, користувач не очшуе атак з боку сайту. Експлуатуючи цю довipу, зловмисник може використовувати piзнi методи для про-ведення атак на ктент1в сервера.
4. Виконання коду (Command Execution) - клас атак, яю cпpямованi на виконання коду на вебсервера Bci сервери використовують данi, що були надicланi користувачем при обробщ запитiв. Часто щ данi використовуються при cкладаннi команд, що застосовуються для гeнepацiï динамiчного вмь сту. Якщо при розробщ не враховуються вимоги безпеки, зловмисник отримуе можливicть модифь кувати виконуваш команди.
5. Розголошення iнфоpмацiï (Information Disclosure) - атаки, що спрямоваш на отримання дода-тково1' шформацп про веб-застосунок. Використовуючи щ вpазливоcтi, зловмисник може визна-чити викоpиcтовуванi дистрибутиви, номери версш клiента й сервера, а також встановлеш оновлення. В iнших випадках в шформацп, що випкае, можуть мютитися вiдомоcтi про розта-шування тимчасових файлiв або резервних копш. У багатьох випадках цi даш не потpiбнi для ро-боти користувача. Бшьшють cepвepiв надають доступ до надмipного обсягу даних, однак необ-хiдно мiнiмiзувати обсяг службово1' iнфоpмацiï. Чим бiльшi знання про програму буде мати у своему розпорядженш зловмисник, тим легше йому буде скомпрометувати систему.
6. Лопчш атаки (Logical Attacks) - спрямоваш на експлуатащю функцш застосунка або лопки його функцiонування. Лопка застосунка - це очiкуваний процес функцiонування програми при виконаннi певних дiй. Як приклади можна
навести вщновлення паролiв, реeстрацiю облшо-вих записiв, аукцiоннi торги, транзакцп в системах електронно! комерцп. Застосунок може ви-магати вiд користувача коректного виконання декшькох послiдовних дш для певного завдання. Зловмисник може обшти або використовувати цi мехашзми в сво!х цiлях [9]. На вiдмiну вiд OWASP консорщум не веде статистику активносп та кiлькостi проведених на веб-ресурси атак. Однак таким займаються орга-шзацп-члени консорцiуму. Однieю з них е ком-панiя Positive Technologies. Аналiз звiту за 2016 рш [6] показуе, що кожен третш виявлений не-долiк вiдноситься до високого класу небезпеки (рис. 2).
■ високий середнт низький
Рис. 2. Доля вразливостей рiзного ступеня ризику Хоча бiльшiсть виявлених вразливостей характеризуются середнiм рiвнем ризику (62%), а 4% вщнесеш до низького рiвня ризику, але абсолютно ус застосунки, якi були дослщжеш, мiстили щонайменше одну вразливють середнього рiвня небезпеки. Розподiл знайдених спещалютами компанii вразливостей рiзного класу небезпеки веб-застосунках протягом 2011-2015 роюв показано на рис. 3.
10054 -♦'Високий ♦Середый *-Ниэький 100%
95%
80% 73% 80% 68% \ 70%
61% 61
jt^ -,2%
\l5S/
30 30%
2011 2012 2013 2014 2015
Рис. 3. Доля сайпв 1з вразливостями р1зного ступеня ризику
Незважаючи на те, що данi дослщжень не е до-статньо репрезентативними через вiдноcно неве-лику кшьюсть пpоаналiзованих вeб-pecуpciв, але вони гарно показують загальну тeндeнцiю зрос-тання класу небезпеки вразливостей, що щенти-фшуються cпeцiалicтами iз кiбepбeзпeки. Це ви-кликано як piзким зростанням cкладноcтi техно-логiй, що використовуються шд час розробки сучасних веб-застосунюв (зростае ймовipнicть
виникнення помилки, використання 3aco6iB роз-робки Î3 непiдтвердженим рiвнем безпеки тощо), так i створенням бiльш ефективних iнструментiв несанкцiонованого втручання у роботу програм-них систем.
4. Методи та пщходи до захисту веб-застосунюв
Вислiв «Попереджений - значить озброений!» повнiстю працюе в галузi безпеки веб-застосункiв та веб-ресуршв в цiлому. Тому най-першим засобом захисту вiд ризикiв е перюдич-не проведення аудиту безпеки та своечасне оно-влення програмних модулiв. 1снуе декiлька методологiй проведення аудиту застосунку. Вони е найбшьш ефективними у окремi перiоди життевого циклу програмного забезпечення. Кожен з них представляе певнi цикли часу, зусилля, витрати щодо знаходження цих уразливостей.
1) Метод «бiлоï скриньки» або аудит коду. Особа, що проводить аудит, глибоко розумiе засто-сунок та вручну переглядае початковий код, за-писуючи вразливостi безпеки. Аудитору нада-еться доступна вичерпна iнформацiя про структуру застосунку, особливосп побудови вшх його елементiв та забезпечуеться коректнiсть взаемо-дiï його частин.
2) Метод «чорноï скриньки». Даний вид аудиту передбачае те, що шформащя про дослщжуваний об'ект повшстю вiдсутня. Функцiï об'екта можна визначити лише за реакщею його на зовшшш фактори. До початку аудиту за цим методом аудитор мае визначити внутршню арх1тектуру. Саме тестування проводиться за допомогою iмi-тацiйного моделювання вiдомих типiв атак на веб-ресурси.
3) 1нструментарш. Аудит проводиться iз застосу-ванням автоматизованих iнструментiв, якi пере-вiряють наявшсть недолiкiв та дефектiв безпеки, часто з бшьшою позитивною швидкiстю, шж залучення людини. До такого шструментарда вiдносяться сканери, брандмауери, антивiруси, фшьтри тощо [1].
Для органiзацiï захисту iнформацiйноï шфра-структури використовуеться велика кшьюсть типiв захисних рiшень - Firewall, IPS/IDS (система запобпання вторгнень/система виявлення вторгнень), NGFW (Next Generation Firewall), WAF (Web-Application Firewall). Однак сьогодш понад 80% атак експлуатують уразливостi саме веб-застосункiв, а не мережево1' архiтектури. Тому класичш системи захисту мереж виявля-ються малоефективними проти сучасних юберза-гроз. До того ж сьогодш юнуе величезна кшь-кiсть веб-застосункiв (кожен з яких потенцшно може мютити в собi певнi вразливостi), тобто загальна кiлькiсть вразливостей набагато бшьша,
нiж кiлькiсть сигнатур в базах сучасних систем запобпання вторгнень. За оцшками багатьох експертiв з юбербезпеки, саме проникнення через веб-застосунки останшм часом стають осно-вним вектором атак на корпоративш мереж^ причому традицiйнi системи безпеки, таю як брандмауер та антивiрусна система, не здатш ефективно запобiгати подiбним атакам. Для на-дiйного захисту необхщний кардинально iнший пiдхiд: з глибоким аналiзом змiсту пакетiв i хорошим знанням структури веб-застосунюв, включаючи URL-параметри, форми введення даних i iн. Таким умовам задовольняе Web Firewall Application - брандмауер для застосун-кiв, якi здшснюють передачу даних через HTTP i HTTPS [3].
Принцип дii WAF нагадуе прозорий прокс> сервер або мют. Пiдтримуеться, як правило, та-кож реплiкацiя трафiка. Для виявлення атак WAF застосовуе як сигнатурний, так i поведiнковий пiдходи. Другий метод також дуже важливий, оскшьки для атак на веб-застосунок юберзлочи-нщ можуть застосовувати уразливостi нульового дня (0day vulnerability), що зводить до нуля ефе-ктивнiсть сигнатурного аналiзу. Основним компонентом WAF е модуль машинного навчання, який призначений для створення еталонно! мо-делi комунiкацii з об'ектом захисту. При цьому передбачаеться, що при проведенш першого раунду перевiрки вразливост веб-застосунку не експлуатуються. Таким чином, формуеться список дозволених iдентифiкаторiв доступу i буду-еться модель нормального функщонування застосунку. На вiдмiну вiд класичних брандмау-ерiв, якi генерують великi обсяги помилкових спрацьовувань на рiзнi пiдозрiлi поди, WAF зда-тний аналiзувати тисячi подiй i будувати ланцюг розвитку атаки - вщ першого етапу до останньо-го.
Однак не все так райдужно, як би хотшося, i з WAF. Так, в силу сво!х функцiональних обме-жень, вiн не здатний захистити веб-застосунок вщ усiх можливих вразливостей. WAF не вида-ляе вразливють, а лише (частково) закривае вектор атаки. Висновки
Аналiзуючи ситуацiю навколо питань безпеки веб-ресуршв, можна зробити висновок, що даний напрямок е наразi найбiльшою «гарячою точкою» в шформацшнш безпецi загалом. Зростан-ня у геометричнiй прогресii кiлькостi тишв но-вих вразливостей та офщшно зафiксованих ус-пiшних атак на веб-ресурси може свщчити про те, що даний напрямок ще доволi довго залиша-тиметься найбiльш популярним у кiберзлочинцiв та спецiалiстiв iз комп'ютерноi безпеки.
На превеликий жаль, доводиться констатувати той факт, що до цих тр не запропоновано бiльш ефективно! технологи захисту, шж регулярне проведення аудиту вразливостей. При цьому найбшьшу яюсть може гарантувати лише ручна перевiрка за складеними чек-листами i залучен-ням вiдповiдних спецiалiстiв. Наприклад, на по-пулярних Bug Bounty платформах (hackerOne, BugCrowd, Synack, Zerocopter, Cobalt, Intigrity, HackenProof та rnmi).
Лггература: 1. Безпека додатк1в [Електронний ресурс]. 2018. Режим доступу до ресурсу: https://bit.ly/2LL77JC. 2. Годовой отчет Cisco по информационной безопасности [Електронний ресурс]. 2017. Режим доступу до ресурсу: https://www.cisco.com/c/ru ru/products/security/security-reports.html. 3. Захист веб-додатшв: чому це важливо? [Електронний ресурс]. 2016. Режим доступу до ресурсу: https://itbiz.ua/ua/zashhita-veb-prilozheniy-pochemu-yeto-vazhn. 4. Основт поняття. НД ТЗ1 1.1-003-99: Термiнологiя в галузi захисту iнформацii в комп'ютерних системах вщ несанкцiонованого доступу. [Електронний ресурс] // Ки!в: Департамент спець альних телекомунiкацiйних систем та захисту шформацп Служби безпеки Укра!ни. 1999. Режим доступу: http://iszzi.kpi.ua/images/Info_bezpeka/ND_TZI/4_НД_Т 3I_1.1-003-99.pdf. 5. Поповский В.В. Защита информации в телекоммуникационных системах: учебник / В.В. Поповский, А.В. Персиков. Х.: ООО "Компания СМИТ", 2006. Т. 2. 292 с. 6. Уязвимости веб - приложений [Електронний ресурс] // Positive Technologies. 2016. https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Web-Vulnerability-2016-rus.pdf. 7. OWASP Top 10 - 2017. The Ten Most Critical Web Application Security Risks. [Електронний ресурс]. 2017. https://www.owasp.org/images/7/72/OWASP Top 102017 %28en%29.pdf.pdf. 8. Prakhar P. Mastering Modern Web Penetration Testing / Prasad Prakhar. -BIRMINGHAM - MUMBAI: Packt Publishing, 2016. 298 с. 9. The WASC Threat Classification v2.0 [Електронний ресурс] // WEB APPLICATION SECURITY CONSORTIUM - Режим доступу до ресурсу: http://projects.webappsec.org/f/WASC-TC-v2 0.pdf. 9. Yaworski P. Web Hacking 101. How to Make Money Hacking Ethically [Електронний ресурс] / Peter Yaworski // Lean Publishing. 2017. Режим доступу до ресурсу: http://leanpub.com/web -hacking-101. Транслирований список лггератури
1. Bezpeka dodatkiv [Elektronnij resurs]. - 2018. -Rezhim dostupu do resursu: https://bit.ly/2LL77JC.
2. Godovoj otchet Cisco po informacionnoj bezopasnosti [Elektronnij resurs]. - 2017. - Rezhim dostupu do resursu:
https://www.cisco.com/c/ru_ru/products/security/security-reports.html.
3. Zahist veb-dodatkiv: chomu ce vazhlivo? [Elektronnij resurs]. - 2016. - Rezhim dostupu do resursu: https://itbiz.ua/ua/zashhita-veb-prilozheniy-pochemu-yeto-vazhn.
4. Osnovni ponjattja. ND TZI 1.1-003-99: Terminologija v galuzi zahistu informacii v komp'juternih sistemah vid
ne-sankcionovanogo dostupu. [Elektronnij resurs] // Kiiv: Depa-rtament special'nih telekomunikacijnih sistem ta zahistu informacii Sluzhbi bezpeki Ukraini. - 1999. -Rezhim dostu-pu do resursu:
http://iszzi.kpi.ua/images/Info_bezpeka/ND_TZI/4_ND_T ZI_1.1-003-99.pdf.
5. Popovskij V.V. Zashhita informacii v telekommunika-cionnyh sistemah: uchebnik / V.V. Popovskij, A.V. Persi-kov. - H.: OOO "Kompanija SMIT", 2006. T. 2. - 292 s.
6. Ujazvimosti veb prilozhenij [Elektronnij resurs] // Positive Technologies. - 2016. - Rezhim dostupu do resursu: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/W eb-Vulnerability-2016-rus.pdf.
7. OWASP Top 10 - 2017. The Ten Most Critical Web Appli-cation Security Risks. [Elektronnij resurs]. - 2017. - Rezhim dostupu do resursu: https://www. owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf.
8. Prakhar P. Mastering Modern Web Penetration Testing / Prasad Prakhar. - BIRMINGHAM - MUMBAI: Packt Publishing, 2016. - 298 s.
9. The WASC Threat Classification v2.0 [Elektronnij resurs] // WEB APPLICATION SECURITY CONSORTIUM - Rezhim dostupu do resursu: http://proj ects.webappsec.org/f/WAS C-TC-v2_0.pdf.
10. Yaworski P. Web Hacking 101. How to Make Money Hacking Ethically [Elektronnij resurs] / Peter Yaworski // Lean Publishing. - 2017. - Rezhim dostupu do resursu: http://leanpub.com/web-hacking-101.
Надшшла до редколеги 06.06.2018 Рецензент: д-р техн. наук, проф. Бараншк В.В. Слободянюк Олександр Васильович, канд. техн. наук, доцент кафедри шформатики Кам'янець-Подшьського нацюнального ушверситету iменi 1вана Опенка, Кам'янець-Подшьський, e-mail:
slobodyanyuk. olexandr@kpnu. edu.ua. Хаханова Анна Володимирiвна, канд, техн. наук, доцент, докторант кафедри АПОТ ХНУРЕ. Науковi штереси: обробка iнформацii. Адреса: Укра1на, 61166, Харшв, пр. Науки, 14. E-mail: Ann. hahanova@gmail. com.
Комолов Дмитро 1ванович, канд. техн. наук, старший викладач кафедри 1М1 ХНУРЕ. Науковi iнтереси: обробка iнформацii. Адреса: Украша, 61166, Харкiв, пр. Науки, 14, e-mail: elsdefan@gmail.com. Slobodyanyuk Oleksandr, PhD, Associate Professor at Kamianets-Podilskyi National Ivan Ohiienko University, e-mail: slobodyanyuk. olexandr@kpnu. edu.ua Hahanova Anna, Candidate of Technical Science, docent, post doc, Design Automation Department, Kharkov National University of Radioelectronics. Scientific interests: processing of information. Address: Ukraine, 61166, Kharkiv, Nauki Ave, 14, e-mail: Ann.Hahanova@gmail.com.
Komolov Dmitry Ivanovich, PhD, Senior Lecturer of the Department of INI, Kharkiv National University of Radi-oelectronics. Scientific interests: processing of information. Address: 61166, Kharkiv, avenue. Sciences 14, e-mail: elsdefan@gmail.com
