• Как реализовать защиту корпоративного портала для дипломной работы?

    @alfstanna Автор вопроса
    xmoonlight:
    1. Если честно, я сомневаюсь в своих способностях написать код, html знаю, но далеко до идеала, языки веб-разработки не знаю. Поэтому по возможности хотелось бы воспользоваться готовым решением
    2. Спасибо за наводку, постараюсь решить этот вопрос
  • Как реализовать защиту корпоративного портала для дипломной работы?

    @alfstanna Автор вопроса
    xmoonlight: Без проблем, только бы для начала ее дописать и защитить надо.
    1. В теоретической части я собираюсь показать примеры уязвимого кода и написать, как именно с ними можно справиться. В практике сомневаюсь, что смогу это показать
    2. Спасибо, обязательно упомяну.
    3. Про эти атаки тоже обязательно напишу. Думаю, против конкретно кликджекинга полезнее всего будет использование x-frame-options в http-заголовках. Со стороны пользователя думаю прописать в ПБ бдительнее относиться к посещаемым сайтам, использовать плагины для браузеров.
    Но еще остается в силе вопрос, где взять сайт, на котором можно будет отработать практику.
  • Как реализовать защиту корпоративного портала для дипломной работы?

    @alfstanna Автор вопроса
    Глава 1:
    1. Классификация веб-ресурсов (в общем виде: порталы, хостинги, форумы, магазины и тд. Открытые/полуоткрытые/закрытые, общедоступные/локальные)
    2. История развития веб-ресурсов
    3. Структура веб-ресурсов («изнутри» про http, html, css, скрипты, «снаружи» про интерфейс). Еще не дописана
    Глава 2:
    Классификация угроз и уязвимостей:
    1) угрозы аутентификации (брутфорс, небезопасное восстановление паролей)
    2) угрозы авторизации (перехват сессии)
    3) выполнение кода (спуфинг, межсайтовый скриптинг, sql injection и тд)
    4) логические атаки (DoS, недостаточная проверка процесса)
    Варианты защиты веб-ресурсов: (в процессе)
    (ssl, многофакторная аутентификация, одноразовые пароли, защита от SQL-инъекций)

    С руководителем обсуждали, что защиту от всех перечисленных атак я вряд ли смогу организовать, но от меня, главное, требуется – показать «как было» и «как будет», то есть на незащищенный сайт повесить всю возможную защиту: организовать регистрацию по инвайтам, написать политику безопасности по работе с сайтом, прикрутить ssl-сертификат, упомянуть про защиту браузеров. Над остальным пока думаю.