Основные параметры экономической безопасности хозяйствующего субъекта - курсовая работа готовая
Приём заказов:
Круглосуточно
Москва
ул. Никольская, д. 10.
Ежедневно 8:00–20:00
Звонок бесплатный

Основные параметры экономической безопасности хозяйствующего субъекта

Диплом777
Email: info@diplom777.ru
Phone: +7 (800) 707-84-52
Url:
Логотип сайта компании Диплом777
Никольская 10
Москва, RU 109012
Содержание

После того, как получена почти вся необходимая информация, пентестеры запускают сканеры уязвимостей. Самые популярные – Acunetix и BurpSuit. Данные программы сканируют сайт, на предмет различных проблем, к примеру, наличие XSS уязвимостей, наличие SQL-инъекций, передача паролей в незашифрованном виде, возможность украсть CSRF-токенов, проблемы с cookies и так далее. Кроме того, данные программы позволяют не только сканировать сайты, но и перехватывать запросы, адресованные к нему с компьютера пентестера, что позволяет изменять запросы налету, что помогает обойти различные ограничения. Многие сайты настраивают защиту только на Frontend, забываю про фильтрацию данных на Backend сайта, и такая функция позволяет использовать это. К примеру, если есть возможность загрузить файл, и можно загружать только изображения и фильтрация идет только по расширению, о при помощи этой особенности сканеров можно изменить расширение прямо во время отправки файла и изменить расширение фотографии на расширение своего файла, к примеру php и исполнять свои команды на сервере. Еще один сканер, который так же применяется профессиональными командами, это Nessus, который является многофункциональным, и, порой, незаменимым его основные плюсы в том, что он сам составляет подробные отчеты об уязвимостях, найденных на сайте и не только на нем: Nessus может обнаружить в сети вирусы, червей, malware, различные бэкдоры, распознать botnet. Nessus поддерживает виртуализацию, работает на почти всех ОС: Windows, OS X, Linux, Solaris, FreeBSD, Cisco iOS, IBM iSeries, поддерживает любой тип баз данных: Oracle, SQL Server, MySQL, DB2, Informix/DRDA, PostgreSQL, MongoDB.
Эксплуатация
По результатам предыдущего этапа сканеры выдают отчет, о результатах проведенного сканирования. Наиболее полный отчет выдают сканеры Acunetix и Nessus: такие отчеты уже могут быть предоставлены клиенту, как результат проведения пентеста, однако это считается плохим результатом, поскольку часть ошибок сканер мог просто не увидеть. Из-за многообразия уязвимостей для разного программного обеспечения каждый случай эксплуатации стоит рассматривать отдельно. В приоритете для пентестеров получить RCE – remote code execution. Это самая критическая уязвимость, позволяющая выполнять произвольный код. К RCE можно прийти при помощи всех уязвимостей, которые были классифицированы в 1 главе в разделе OWASP. Однако часто бывает, что сканеры веб уязвимостей не находят никаких проблем. В этом случае пытаются пробовать эксплуатировать уязвимости сервисов, которые есть в веб-приложении. Часто компании не обновляют свои CMS (WordPress), почтовые и ftp клиенты. У устаревших версий программного обеспечения есть уязвимости, которые можно обнаружить несколькими способами. Первый способ: проверить наличие на специальных сайтах, к примеру, vulners.com/exploitdb.com. На этих сайтах находятся базы данных уязвимостей к различным версиям программного обеспечения, описания этих уязвимостей и иногда выложен PoC – Proof of concept, который показывает, как именно работает. Также там бывает выложен готовый модуль для Metasploit. Metasploit – программа-аналог сайтов, которые были указаны ранее. Она не только хранит список уязвимостей, но также имеет готовые модули для проведения атаки. В основном пентестеры и хакеры используют данный инструмент для проведения атаки на сервисы приложения. После проведения атаки и получения RCE, существует последняя задача – получение root доступа. Чаще всего приложения запускаются без прав суперпользователя, что ограничивает количество команды, доступное им. Для получения этих прав злоумышленники используют различные техники повышения привилегий. Техники различаются в зависимости от типа операционной системы и ее версии.
Анализ предыдущих исследований
Обычно в открытый доступ не выкладывают данные исследования, поскольку уязвимости быстро не закрываются + они могут содержать важную информацию, которая не должна быть доступна в открытом доступе. Несмотря на это, в специальном репозитории [5] собраны различные публичные отчеты о проведении аудита безопасности. В качестве образца будет использоваться отчет, сделанный компанией PricewaterhouseСoopers, поскольку это крупнейшая из представленных компаний, которая предоставляет услуги аудита. В данном исследовании применена вся методология, которая была описана выше. Исследователи собирали информацию о компании, роде ее деятельности. Кроме того, были исследованы внутренние процессы компании, взаимоотношения сотрудников, их ролей. Были определены ключевые позиции. Это было сделано для социальной инженерии, при помощи которой пентестеры могли проникнуть в систему. Вся полученная информация использовалась для проведения теста на проникновение. На ее основании были составлены графики взаимодействия сотрудников между собой, чтобы наглядно продемонстрировать слабые места в безопасности. На основе собранных данных было проведено сканирование, в результате которого были найдены критические уязвимости, которые привели к исполнению произвольного кода и компрометации части системы. Все эти проблемы с безопасностью отражены в первой части отчета. Во второй части указаны конкретные рекомендации по исправлению ситуации.

Данная работа не уникальна. Ее можно использовать, как базу для подготовки к вашему проекту.

Валерий Некрасов
Валерий Некрасов
Более 15 лет назад окончил РУДН, факультет физико-математических и естественных наук. По специальности работаю 10 лет – я преподаватель, моя научная степень кандидат наук. Написал 8 научных статей и в данный момент работаю над диссертацией. В свободное время работаю на этом сайте, помогаю студентам с курсовыми и дипломными. Люблю свою работу за то, что учащиеся благодарны за подаренные знания.
Поделиться курсовой работой:
Поделиться в telegram
Поделиться в whatsapp
Поделиться в skype
Поделиться в vk
Поделиться в odnoklassniki
Поделиться в facebook
Поделиться в twitter
Похожие статьи
Раздаточный материал для дипломной работы образец

Когда студент выходит на защиту перед экзаменационной комиссией, ему требуется подготовить все необходимые материалы, которые могут повысить шансы на получение высокого балла. Один из таких

Читать полностью ➜
Задание на дипломную работу образец заполнения

Дипломная — это своеобразная заключительная работа, которая демонстрирует все приобретенные студентом знания во время обучения в определенном вузе. В зависимости от специализации к исследовательским работам

Читать полностью ➜