Моделі та програмне забезпечення для виявлення SQL-ін’єкцій у веб-застосунках
| dc.contributor.advisor | Цуркан, Василь Васильович | |
| dc.contributor.author | Васін, Євгеній Васильович | |
| dc.date.accessioned | 2019-04-11T10:49:45Z | |
| dc.date.available | 2019-04-11T10:49:45Z | |
| dc.date.issued | 2018 | |
| dc.description.abstract | Актуальність теми. Актуальність означеної теми обумовлена тим, що інформація являє собою певну цінність, має відповідне матеріальне або нематеріальне вираження та вимагає захисту від різноманітних за своєю сутністю несприятливих впливів. Одним із основних таких впливів є SQL-ін’єкція у веб-застосунках. Це обумовлено, наприклад, легкістю виявлення і експлуатування уразливостей баз даних і, як наслідок, їх використання зловмисниками. Тому, побудова моделей програмного забезпечення для виявлення SQL-ін’єкцій у веб-застосунках є актуальним завданням. Об’єктом дослідження є процес виявлення SQL-ін’єкцій у веб-застосунках. Предметом дослідження програмне забезпечення для виявлення SQL- ін’єкцій у веб-застосунках. Мета роботи синтезувати програмне забезпечення для виявлення SQL-ін’єкцій у веб-застосунках. Методи дослідження. Теоретичною основою дисертаційних досліджень є теорія моделювання процесів. Зокрема, теорія функціонального, процесного моделювання і моделювання потоків даних – для побудови концептуальної моделі програмного забезпечення виявлення SQL-ін’єкцій у веб-застосунках; теорія об’єктно-орієнтованого моделювання – для побудови об’єктно-орієнтованої моделі програмного забезпечення виявлення SQL-ін’єкцій у веб-застосунках. Наукова новизна роботи полягає в одержанні таких результатів: уперше побудовано концептуальну модель програмного забезпечення виявлення SQL-ін’єкцій у веб-застосунках, використання якої дозволяє формалізування його роботу на рівні функцій, процесів і потоків даних, а також сформувати та обґрунтувати варіанти використання програмного забезпечення; уперше побудовано об’єктно-орієнтовану модель програмного забезпечення на основі формалізування його роботи на рівні функцій, процесів і потоків даних, використання якої дозволяє надати нову якість програмному забезпеченню при створенні або вдосконаленні, зокрема, забезпечити їх функціональну придатність до виявлення SQL-ін’єкцій у веб-застосунках. Практична цінність отриманих результатів полягає у доведенні їх до практичного реалізування, а саме: розроблення програмного забезпечення виявлення SQL-ін’єкцій у веб-застосунках за його об’єктно-орієнтованою моделлю; виявлення SQL-ін’єкцій у веб-застосунках завдяки використанню розробленого програмного забезпечення.Апробація роботи. Результати роботи апробовано на XІ науковій конференції магістрантів та аспірантів «Прикладна математика тa комп’ютинг» (ПМК-2018-2). Структура та обсяг роботи. Магістерська дисертація складається з вступу, п’яти розділів, висновків та додатків. У вступі надано загальну характеристику роботи, оцінено сучасне програмне забезпечення виявлення SQL-ін’єкцій, обґрунтовано актуальність обраного напрямку досліджень, сформульовано мету і завдання дослідження. У першому розділі проаналізовано програмне забезпечення виявлення SQL-ін’єкцій стосовно своєчасності оповіщення про них. За результатами такого аналізування показано необхідність створення відповідного програмного забезпечення, сформовано функціональні та не функціональні вимоги для його синтезування. У другому розділі побудовано концептуальну модель програмного забезпечення виявлення SQL-ін’єкцій на функціональному, процесному рівнях, рівні потоків даних у графічних нотаціях IDEF0, IDEF3 та DFD. Це дозволило на функціональному рівні формалізувати його роботу набором функцій. Тоді як на процесному рівні та рівні потоків даних описати взаємозв’язки між етапами оповіщення про SQL-ін’єкцію та обмін даних між ними. У третьому розділі на основі концептуальної моделі побудовано об’єктно орієнтовану модель програмного забезпечення виявлення SQL-ін’єкцій у графічній нотації UML. Це дозволило визначити його варіанти використання, логічну та фізичну структури та, як наслідок, синтезувати програмне забезпечення виявлення SQL-ін’єкцій у веб-застосунках. У четвертому розділі визначено характеристики, метрики якості та проведено функціональне тестування програмного забезпечення виявлення SQL-ін’єкцій у веб-застосунках. Наведено контрольні приклади тестування основних його варіантів використання. Визначено системні та апаратні вимоги до клієнтської та серверної частини програмного забезпечення. Описано кроки успішного встановлення і наведено інструкцію адміністратору для користування програмним забезпеченням виявлення SQL-ін’єкцій у веб-застосунках.У п’ятому розділі визначено ринкові перспективи стартап-проекту програмного забезпечення виявлення SQL-ін’єкцій у веб-застосунках, графік та принципи організації виробництва, фінансовий аналіз та аналіз ризиків і заходи з просування пропозиції для інвесторів. Узагальнено етапи розроблення та виведення стартап-проекту на ринок. У висновках проаналізовані отримані результати. У додатках наведено структуру програмного забезпечення. Магістерська дисертація виконана на 135 аркушах, містить 2 додатки та посилання на список використаних літературних джерел зі 50 найменувань. У роботі наведено 19 рисунків та 31 таблиця. | uk |
| dc.description.abstracten | Relevance of the topic. The relevance of the topic is due to the fact that information is a certain value, has the appropriate material or intangible expression and requires protection from diverse in nature adverse effects. One of the key influences is SQL injection in web applications. This is due, for example, to the easy detection and exploitation of database vulnerabilities and, consequently, their use by malicious people. Therefore, the construction of software models for detecting SQL injection in web applications is an urgent task. Object of research is the process of detecting SQL injection in the web application. Subject of research software for detecting SQL injection in web applications. Research objective to programmatically implement SQL Injection Detection Tool in Web Applications by building its object-oriented model. Research methods. The theoretical basis of dissertation research is the theory of process modeling. In particular, the theory of functional, process modeling and data flow modeling - for building a conceptual model of software for detecting SQL injection in web applications; the theory of object-oriented modeling - for building an object-oriented software model for detecting SQL injection in web applications. Scientific novelty work is to obtain such results: – For the first time, a conceptual model of SQL Injection Detection Software in web applications was built, the use of which allows for formalizing its work at the level of functions, processes and data flows, as well as to form and justify the use of software software; – For the first time, an object-oriented software model was built on the basis of formalizing its work at the level of functions, processes and data streams, the use of which allows providing a new quality software when creating or improving, in particular, to ensure their functional suitability for the detection of SQL injections. in web applications. Practical value of the results obtained is to bring them to practical realization, namely: – developing software for detecting SQL injection in web applications for its object-oriented model; – detecting SQL Injections in Web Applications through the use of developed software. Approbation. The results of the work were tested at the XIth Scientific Conference of Graduate Students and PhD Students «Applied Mathematics and Computer» (PMK-2018-2). Structure and content of the thesis. The master's dissertation consists of an introduction, five sections, conclusions and appendices. The introduction provides a general description of the work, evaluated the modern software for the detection of SQL injections, justified the relevance of the chosen direction of research, formulated the purpose and objectives of the study. The first section analyzes SQL Injection Detection Software for timely notification of them. According to the results of this analysis, the necessity of creating the corresponding software has been demonstrated, functional and non-functional requirements for its synthesis have been formed. In the second section, a conceptual model for SQL Injection Detection Software is constructed at the functional, process levels, data streams in graphical notifications IDEF0, IDEF3 and DFD. This allowed the functional level to formalize its work by a set of functions. Then, at the process level and the data stream levels, describe the interrelationships between the stages of SQL injection alert and the exchange of data between them. In the third section, based on the conceptual model, an object-oriented SQL injection model software in the graphical UML notation is built. This made it possible to determine its usage patterns, logical and physical structure, and, consequently, to synthesize the SQL injection detection software in web applications. The fourth section defines characteristics, quality metrics, and performs functional testing of SQL injection detection software in web applications. Examples of testing their main uses are given. The system and hardware requirements for the client and server part of the software are determined. Describes the steps for a successful installation and provides an instruction to the administrator to use the SQL Injection Detection Software in Web Applications. The fifth section defines the market prospects for a software startup software for SQL Injection in web applications, a schedule and principles for organizing production, financial analysis and risk analysis, and measures to promote offers to investors. The stages of designing and launching a startup project on the market are summarized. The conclusions are analyzed by the obtained results. The annexes show the structure of the software. The master's thesis is made on 135 sheets, contains 2 appendices and a link to the list of used literary sources from 50 titles. There are 19 drawings and 31 tables in the work. | uk |
| dc.description.abstractru | Актуальность темы. Актуальность обозначенной темы обусловлена тем, что информация представляет собой определенную ценность, имеет соответствующее материальное или нематериальное выражение и требует защиты от различных по своей сути неблагоприятных воздействий. Одним из основных таких воздействий является SQL-инъекция в веб-приложениях. Это обусловлено, например, легкостью обнаружения и эксплуатации уязвимостей баз данных и, как следствие, их использование злоумышленниками. Поэтому, построение моделей программного обеспечения для обнаружения SQL-инъекций в веб-приложениях является актуальной задачей. Объєктом исследования является процесс выявления SQL-инъекций в веб-приложениях. Предметом исследования является программное обеспечение для обнаружения SQL- инъекций в веб-приложениях. Цель работы синтезировать программное обеспечение для обнаружения SQL-инъекций в веб-приложениях благодаря построению его моделей. Методы исследования. Теоретической основой диссертационных исследований является теория моделирования процессов. В частности, теория функционального, процессного моделирования и моделирования потоков данных - для построения концептуальной модели программного обеспечения обнаружения SQL-инъекций в веб-приложениях; теория объектно-ориентированного моделирования - для построения объектно-ориентированной модели программного обеспечения обнаружения SQL-инъекций в веб-приложениях. Научная новизна работы заключается в получении таких результатов: – впервые построено концептуальную модель программного обеспечения обнаружения SQL-инъекций в веб-приложениях, использование которой позволяет формализации его работу на уровне функций, процессов и потоков данных, а также сформировать и обосновать варианты использования программного обеспечения; – впервые построено объектно-ориентированную модель программного обеспечения на основе формализации его работы на уровне функций, процессов и потоков данных, использование которой позволяет предоставить новое качество программному обеспечению при создании или совершенствовании, в частности, обеспечить их функциональную пригодность к выявлению SQL-инъекций в веб-приложениях. Практическая ценность полученных результатов заключается в доведении их до практического реализуемость, а именно: – разработка программного обеспечения обнаружения SQL-инъекций в веб-приложениях по его объектно-ориентированной моделью; – выявление SQL-инъекций в веб-приложениях благодаря использованию разработанного программного обеспечения. Апробация работи. Результаты работы прошли апробацию на XI научной конференции магистрантов и аспирантов «Прикладная математика и компьютинг» (ПМК-2018-2). Структура та объем работы. Магистерская диссертация состоит из введения, пяти глав, заключения и приложений. Во введении дано общая характеристика работы, оценены современное программное обеспечение обнаружения SQL-инъекций, обоснована актуальность выбранного направления исследований, сформулированы цели и задачи исследования. В первой главе проанализированы программное обеспечение обнаружения SQL-инъекций относительно своевременности оповещения о них. По результатам такого анализа показана необходимость создания соответствующего программного обеспечения, сформирован функциональные и нефункциональные требования для его синтезирования. Во втором разделе построено концептуальную модель программного обеспечения обнаружения SQL-инъекций в функциональном, процессном уровне, уровне потоков данных в графической нотации IDEF0, IDEF3 и DFD. Это позволило на функциональном уровне формализовать его работу набором функций. Тогда как на процессном уровне и уровне потоков данных описать взаимосвязи между этапами оповещения о SQL-инъекцию и обмен данных между ними. В третьем разделе на основе концептуальной модели построены объектно ориентированную модель программного обеспечения обнаружения SQL-инъекций в графической нотации UML. Это позволило определить его варианты использования, логическую и физическую структуры и, как следствие, синтезировать программное обеспечение обнаружения SQL-инъекций в веб-приложениях. В четвертом разделе определены характеристики, метрики качества и проведено функциональное тестирование программного обеспечения обнаружения SQL-инъекций в веб-приложениях. Приведены контрольные примеры тестирование основных его вариантов использования. Определены системные и аппаратные требования к клиентской и серверной части программного обеспечения. Описаны шаги успешной установки и приведена инструкция администратору для пользования программным обеспечением обнаружения SQL-инъекций в веб-приложениях. В пятом разделе определены рыночные перспективы стартап-проекта программного обеспечения обнаружения SQL-инъекций в веб-приложениях, график и принципы организации производства, финансовый анализ и анализ рисков и меры по продвижению предложения для инвесторов. Обзор этапы разработки и вывода стартап-проекта на рынок. В выводах проанализированы полученные результаты. В приложениях приведена структура программного обеспечения. Магистерская диссертация выполнена на 135 листах, содержит 2 приложения и ссылки на список использованных литературных источников из 50 наименований. В работе приведены 19 рисунков и 31 таблиц. Ключевые слова: SQL-инъекция, выявления SQL-инъекций, HTTP-запрос, веб-приложение, шаблоны поиска, концептуальная модель программного обеспечения, объектно-ориентированная модель программного обеспечения, программное обеспечение обнаружения SQL-инъекций. | uk |
| dc.format.page | 135 с. | uk |
| dc.identifier.citation | Васін, Є. В. Моделі та програмне забезпечення для виявлення SQL-ін’єкцій у веб-застосунках : магістерська дис. : 121 Інженерія програмного забезпечення / Васін Євгеній Васильович. – Київ, 2018. – 135 с. | uk |
| dc.identifier.uri | https://ela.kpi.ua/handle/123456789/27142 | |
| dc.language.iso | uk | uk |
| dc.publisher.place | Київ | uk |
| dc.subject | SQL-ін’єкція | uk |
| dc.subject | виявлення SQL-ін’єкцій | uk |
| dc.subject | HTTP-запит | uk |
| dc.subject | веб-застосунок | uk |
| dc.subject | шаблони пошуку | uk |
| dc.subject | концептуальна модель програмного забезпечення | uk |
| dc.subject | об’єктно-орієнтована модель програмного забезпечення | uk |
| dc.subject | програмне забезпечення виявлення SQL-ін’єкцій | uk |
| dc.subject | SQL Injection | uk |
| dc.subject | SQL Injection Detection | uk |
| dc.subject | HTTP Request | uk |
| dc.subject | SQL injection detection software | uk |
| dc.subject | web application | uk |
| dc.subject | search patterns | uk |
| dc.subject | conceptual software model | uk |
| dc.subject | object-oriented software model | uk |
| dc.subject.udc | УДК 004.942::004.056.53 | uk |
| dc.title | Моделі та програмне забезпечення для виявлення SQL-ін’єкцій у веб-застосунках | uk |
| dc.type | Master Thesis | uk |
Файли
Контейнер файлів
1 - 1 з 1
Вантажиться...
- Назва:
- Vasin_magistr.pdf
- Розмір:
- 1.99 MB
- Формат:
- Adobe Portable Document Format
- Опис:
Ліцензійна угода
1 - 1 з 1
Ескіз недоступний
- Назва:
- license.txt
- Розмір:
- 9.1 KB
- Формат:
- Item-specific license agreed upon to submission
- Опис: