Динамічний аналіз безпеки веб застосунків для виявлення вразливостей

Abstract

У кваліфікаційній роботі досліджено методи динамічного аналізу безпеки веб-застосунків та оцінено їх ефективність для виявлення критичних уразливостей. Проведено огляд сучасних загроз, що визначають рівень ризиків для веб-систем, зокрема SQL Injection, XSS, CSRF, помилки автентифікації та конфігураційні недоліки. Узагальнено принципи роботи інструментів DAST та особливості їх застосування у процесі тестування. Практичну частину присвячено проведенню динамічного тестування вибраного веб-застосунку за допомогою OWASP ZAP. У ході роботи виконано перехоплення і аналіз HTTP-трафіку, активне та пасивне сканування, тестування API-ендпоінтів та моделювання типових сценаріїв атак. У результаті виявлено низку вразливостей різного рівня критичності, встановлено їх причини та потенційний вплив на безпеку системи. На основі отриманих даних розроблено рекомендації щодо усунення недоліків та підвищення стійкості веб-застосунків до атак.

The qualification work investigates methods of dynamic security analysis of web applications and evaluates their effectiveness for identifying critical vulnerabilities. A review of modern threats that determine the level of risks for web systems is conducted, in particular SQL Injection, XSS, CSRF, authentication errors and configuration flaws. The principles of operation of DAST tools and the features of their application in the testing process are summarized. The practical part is devoted to dynamic testing of a selected web application using OWASP ZAP. During the work, HTTP traffic interception and analysis, active and passive scanning, API endpoint testing, and modeling of typical attack scenarios were performed. As a result, a number of vulnerabilities of various levels of criticality were identified, their causes and potential impact on system security were established. Based on the data obtained, recommendations were developed to eliminate shortcomings and increase the resistance of web applications to attacks.