Андрей Петухов / Денис Заливин, 5 курс, sec-sem

На этом форуме публикуются и уточняются постановки задач студентам, а также отслеживается ход их выполнения

Модератор: staff

Закрыто
Бычков Иван
Аспирант
Сообщения: 179
Зарегистрирован: 23 сен 2008 01:19 pm

Андрей Петухов / Денис Заливин, 5 курс, sec-sem

Сообщение Бычков Иван »

Тема:
Создание среды для оценки эффективности средств анализа защищенности веб-приложений.

Актуальность:
На рынке существует достаточное количество средств, предназначенных для анализа защищенности веб-приложений. Это и модули динамического анализа, и сканеры безопасности, и статические анализаторы. В нашей лаборатории разрабатываются средства из всех перечисленных выше классов. Между тем, когда дело доходит до проверки работоспособности и эффективности разработанных средств, возникает острая нехватка как исходных данных для таких испытаний, так и методик таких проверок. Более того, если методики оценки эффективности некоторых классов средств в литературе описываются, то среды, в которых проводятся эти оценки, являются закрытыми. Студенту предлагается сделать обзор методик оценки эффективности средств из каждого класса, их критики, выбрать методики, наиболее адекватно оценивающие средства (возможно, суперпозицию методик), а также создать среду, в которой можно было проводить испытания по выбранным методикам.

Цель работы:
Создание среды для оценки эффективности средств анализа защищенности веб-приложений.

Постановка задачи:
1. Сделать обзор методик оценки эффективности средств анализа защищенности веб-приложений для каждого класса: статические анализаторы, сканеры безопасности, модули динамического анализа. Критерий обзора – количество градаций на результирующей шкале эффективности анализируемого средства. Привести существующую критику методики из обзора.
2. В соответствие с выбранными методиками подобрать, используя CVE, реальные веб-приложения, которые будут составлять тестовую среду. Веб-приложения должны покрывать все возможные деления на шкалах эффективности выбранных методик.
3. Автоматизировать процесс развертывания и запуска тестовый среды. Реализовать скрипты сборки, установки и конфигурации тестовой среды из исходных файлов.
4. Написать руководство по применению методик в рамках созданной среды для оценки эффективности средств анализа защищенности веб-приложений.


Примерный план-график:
Осенний семестр: пункты 1 и 2. Текст диплома по ним.
Весенний семестр: пункты 3 и 4, завершение текста диплома.
Денис Заливин
Выпускник
Сообщения: 2
Зарегистрирован: 06 окт 2006 11:27 pm

Сообщение Денис Заливин »

Студент: Заливин Денис Андреевич, гр.522

Тема работы:
Создание среды для оценки эффективности средств анализа защищенности веб-приложений.

Актуальность:
В современных информационных системах широкое распространение и развитие получили веб-приложения [1]. Однако зачастую разработка веб-приложений производится в сжатые сроки людьми, не являющимися экспертами в области безопасности, поэтому, согласно исследованиям WASC [2] примерно 70% веб-приложений содержат те или иные уязвимости. Для обнаружения уязвимостей используются специальные средства, такие как сканеры безопасности, статические или динамические анализаторы.
В нашей лаборатории разрабатываются средства из всех перечисленных выше классов. Между тем, когда дело доходит до проверки работоспособности и эффективности разработанных средств, возникает острая нехватка, как исходных данных, так и методик таких испытаний. Основные составляющие меры эффективности средств обнаружения уязвимостей – это полнота обнаружения и точность обнаружения.
В литературе приводятся описания методик оценок эффективности, однако готовых сред оценки в открытом доступе нет. Целью дипломной работы является создание среды для оценки эффективности средств анализа защищенности веб-приложений.

Постановка задачи:
Необходимо создать среду для оценки эффективности средств анализа защищенности веб-приложений следующих классов: статические анализаторы языков PHP и Python и сканеры безопасности.
1. Для каждого из классов средств необходимо определить свойства веб-приложений, влияющие на эффективность оценки, для чего требуется провести обзор соответствующих методик. Критерий обзора – свойства веб-приложения, влияющие на оценку эффективности соответствующего класса средств.
2. На основе обзора необходимо сформулировать требования к исходным данным для оценки, как сканеров безопасности, так и статических анализаторов.
a. Исходные данные должны включать все найденные свойства веб-приложений, влияющие на оценку эффективности каждого из класса средств.
b. Исходные данные должны содержать только реальные веб-приложения (их отбор можно произвести, используя CVE).
3. Реализовать среду для оценки эффективности, которая удовлетворяет следующим требованиям:
a. Исходные данные среды должны удовлетворять пункту 2 настоящей ПЗ;
b. Процесс сборки, установки, конфигурации и запуска тестовой среды должен быть автоматизирован;
c. Среда должна иметь руководство по оценке средств рассматриваемых классов в рамках созданной среды.


Проделанная работа:
1. Написан обзор «Методики оценки эффективности средств анализа защищенности веб-приложений». Были изучены и описаны методики сравнения статических анализаторов и сканеров безопасности[3-12].
2. Написано введение в диплом.

Направления дальнейшей работы:
1. На основе обзора необходимо сформулировать требования к исходным данным для оценки, как сканеров безопасности, так и статических анализаторов.
a. Исходные данные должны включать все найденные свойства веб-приложений, влияющие на оценку эффективности каждого из класса средств.
b. Исходные данные должны содержать только реальные веб-приложения (их отбор можно произвести, используя CVE).
2. Реализовать среду для оценки эффективности, которая удовлетворяет следующим требованиям:
a. Исходные данные среды должны удовлетворять пункту 2 настоящей ПЗ;
b. Процесс сборки, установки, конфигурации и запуска тестовой среды должен быть автоматизирован;
c. Среда должна иметь руководство по оценке средств рассматриваемых классов в рамках созданной среды.


Литература:
1. Козлов Д.Д., Петухов А.А. Методы обнаружения уязвимостей в web-приложениях. // Программные системы и инструменты: тематический сборник ф-та ВМиК МГУ им.Ломоносова N 7. П/р Л.Н. Королева. М: Издательский отдел ВМиК МГУ. Изд-во МАКС Пресс, 2006г.
2. Web Application Security Statistics Project 2007 [HTML] (http://www.webappsec.org/projects/statistics/)
3. Paul E. Black SAMATE and Evaluating Static Analysis Tools [PDF] (http://hissa.nist.gov/~black/Papers/sta ... 20007.html) June 2007
4. Vadim Okun, William F. Guthrie, Romain Gaucher, Paul E. Black Effect of Static Analysis Tools on Software Security: Preliminary Investigation [PDF] (http://samate.nist.gov/docs/SA_tool_effect_QoP.pdf) Oct 2007
5. Martin Johns, Moritz Jodeit, Wolfgang Koeppl, Martin Wimmer Scanstud: Evaluating Static Analysis Tools [PDF] (http://www.owasp.org/index.php/AppSecEU ... ysis_tools)
6. Open Source Static Analysis Tools for Security Testing of Java Web Applications (http://www.secologic.org/downloads/test ... lyseV1.pdf)
7. Elizabeth Fong, Vadim Okun Web Application Scanners: Definitions and Functions [PDF] (http://samate.nist.gov/docs/wa_paper.pdf) Jan 2007
8. Elizabeth Fong, Romain Gaucher, Vadim Okun, Paul E. Black, Eric Dalci Building a Test Suite for Web Application Scanners [PDF] (http://samate.nist.gov/docs/wa_paper2.pdf) Jan 2008
9. Anurag Agarwal Web Application Security Scanner Evaluation Criteria [HTML] (http://www.webappsec.org/projects/wassec/)
10. Andreas Wiegenstein, Frederik Weidemann, Dr. Markus Schumacher, Sebastian Schinzel Web Application Vulnerability Scanners - a Benchmark [PDF] (http://www.virtualforge.de/whitepapers/ ... chmark.pdf)
11. Larry Suto Analyzing the Effectiveness and Coverage of Web Application Security Scanners [PDF] (http://www.stratdat.com/webscan.pdf)
12. Ory Segal "Better Untaught Than Ill-Taught" An Overview of Larry Suto's white paper: "Analyzing the Effectiveness and Coverage of Web Application Security Scanners" [PDF] (http://blog.watchfire.com/BetterUntaugh ... Taught.pdf) December 03 2007
Последний раз редактировалось Денис Заливин 23 дек 2008 01:04 am, всего редактировалось 3 раза.
Бычков Иван
Аспирант
Сообщения: 179
Зарегистрирован: 23 сен 2008 01:19 pm

Сообщение Бычков Иван »

1) «Были изучены и описаны методики сравнения статических анализаторов и сканеров безопасности».

Описаны где?

2) В чем научная составляющая дипломной работы?

3) Какие готовые решения вы собираетесь использовать в вашей среде и какая часть разработки принадлежит вам?
Закрыто