Необходимо зарегистрироваться, чтобы получить доступ к полным текстам статей и выпусков журналов!
- Название статьи
- Разработка системы безопасной аутентификации и поддержания сеанса пользователя на веб-ресурсе
- Авторы
- Шармаев Вадим Игоревич vadidq@ya.ru, магистрант, Московский авиационный институт (национальный исследовательский университет), Москва, Россия
Сидорин Сергей Юрьевич sarmatsid@yandex.ru, специалист, Компания «Информзащита», Москва, Россия
Жердев Александр Александрович misterrio535@gmail.com, вирусный аналитик, Group-IB, Москва, Россия
- В разделе
- ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. Доверенная среда
- Ключевые слова
- информационная безопасность / уязвимости / кибератаки / аутентификация / авторизация / cookie / JWT-токены
- Год
- 2022 номер журнала 4 Страницы 7 - 12
- Индекс УДК
- 004.056.52
- Код EDN
- JCFPPO
- Код DOI
- 10.52190/2073-2600_2022_4_7
- Финансирование
- Тип статьи
- Научная статья
- Аннотация
- С помощью инструмента Burp Suite авторами продемонстрирована возможность перехвата логина и пароля в том случае, если он передается в открытом виде. Для решения данной проблемы предложен метод безопасной аутентификации пользователя и поддержания сеанса на веб-ресурсе. Приведено подробное описание использованных элементов безопасности и технологий. Для верификации разработанного метода были использованы сканеры уязвимостей Nessus и Netsparker. Результаты данного исследования можно использовать в разработке тактических и технических рекомендаций организациям по формированию более надежных алгоритмов аутентификации пользователей, выявлению уязвимостей и снижению рисков.
- Полный текст статьи
- Необходимо зарегистрироваться, чтобы получить доступ к полным текстам статей и выпусков журналов!
- Список цитируемой литературы
-
Бушуев А. Л., Деревцова И. В., Мальцева Ю. А., Терентьева В. Д. Роль информационной безопасности в условиях цифровой экономики // Baikal Research Journal. 2020. Т. 11. № 1. С. 6.
Сухаревская Е. В. Исследование систем аутентификации // Международный студенческий научный вестник. 2018. № 1. С. 71-71.
Шибанов С. В., Карпушин Д. А. Сравнительный анализ современных методов аутентификации пользователя // Математическое и программное обеспечение систем в промышленной и социальной сферах. 2015. № 1. С. 33-37.
Ивличев П. С. О проблеме небезопасных методов аутентификации пользователей и управления пользовательскими сессиями // Преступность в сфере информационных и телекоммуникационных технологий: проблемы предупреждения, раскрытия и расследования преступлений. 2021. № 7. С. 37-44.
Метельков А. Н. О проблеме аутентификации с использованием паролей при информационном взаимодействии // Национальная безопасность и стратегическое планирование. 2020. № 3. С. 59-68.
Голубь И. С., Глаголев В. А. Обзор методов двухфакторной аутентификации // Постулат. 2018. № 12-1(38). С. 95.
Rezanov B., Kuchuk H. Modeling the process of two-factor authentication // Advanced Information Systems. 2022. V. 6. № 2. Р. 10-15.
Choi Y. B., Loo Y. L., LaCroix K. Cookies and Sessions: A Study of what they are, how they can be Stolen and a Discussion on Security // International J. Advanced Computer Science and Applications. 2019. V. 10. № 1.
Колесников А. О. Идентификация пользователей клиент-серверных приложений с помощью JWT-токена // ББК 1 E91. 2021. С. 42.
Лукашкин Е. В. Разработка аутентификации, базирующейся на JWT-токенах: мат. XXIII республиканской науч. конф. студентов и аспирантов "Новые математические методы и компьютерные технологии в проектировании, производстве и научных исследованиях". 2020. C. 268-269.
Бетелин А. Б., Егорычев И. Б., Прилипко А. А. и др. О некоторых особенностях JWT аутентификации в веб-приложениях // Труды научно-исследовательского института системных исследований Российской академии наук. 2021. Т. 11. № 1. С. 4-10.
Mallik A. Man-in-the-middle-attack: Understanding in simple words // Cyberspace: J. Pendidikan Teknologi Informasi. 2019. V. 2. № 2. Р. 109-134.
Степанов П. П., Свалов А. А., Кобенко В. Ю., Гиль А. С. Методы перехвата трафика // Прикладная математика и фундаментальная информатика. 2018. Т. 5. № 1. С. 60-65.
Nessus Vulnerability Assessment | Tenable [Электронный ресурс]. 2022. URL: <https://www.tenable.com/products/nessus> (дата обращения: 03.10.2022).
Netsparker professional - Web application security Scanner [Электронный ресурс]. 2022. URL: https://www. esecforte.com/products/netsparker-web-application-security-scanner/ (дата обращения: 03.10.2022).
- Купить
