Sulaymonov Yusufbek

Web alapú információs rendszerek, számítógép-hálózatok biztonságának vizsgálata

Pannon Egyetem

Informatikai Tudományok Doktori Iskola

Szücs Veronika

egyéni

PhD

Jelenleg a webes biztonság egyik legnépszerűbb témája a Cross-Site Scripting (XSS) támadások megelőzése. Ez a fajta támadás rosszindulatú kódot juttat be egy weboldalba, lehetővé téve a támadó számára a felhasználói adatok ellopását vagy más rosszindulatú műveletek végrehajtását. További népszerű témák közé tartozik az SQL-injekciós támadások megelőzése, az érzékeny adatok védelme, valamint a biztonságos hitelesítési és engedélyezési folyamatok megvalósítása. A Cross-Site Scripting (XSS) a webes alkalmazásokban előforduló biztonsági sebezhetőségek egyik típusa. Lehetővé teszi a támadó számára, hogy rosszindulatú kódot juttasson be egy weboldalba, amelyet aztán a gyanútlan felhasználók, akik meglátogatják az érintett webhelyet, végre tudnak hajtani. A bejuttatott kód, jellemzően JavaScript, felhasználható felhasználói adatok, például cookie-k és munkamenet-tokenek ellopására, vagy más rosszindulatú műveletek végrehajtására, például a felhasználó rosszindulatú weboldalra való átirányítására. Az XSS-támadások nagyjából két kategóriába sorolhatók: tárolt és visszavert támadások. A tárolt XSS-támadások akkor fordulnak elő, amikor a támadó a rosszindulatú kódját a célzott webhelyen tárolja, amelyet aztán az összes felhasználónak kiszolgál. A eltérítéses XSS-támadások akkor fordulnak elő, amikor a támadó a rosszindulatú kódot úgy tudja végrehajtani, hogy a felhasználót egy speciálisan kialakított linkre való kattintásra csábítja. Fontos megjegyezni, hogy az XSS-támadásoknak sokféle formája lehet, és a webes alkalmazás különböző részein történhetnek. Így egyetlen módszer sem bolondbiztos az összes XSS-támadás kivédésére, ezért a webes alkalmazás védelméhez a módszerek kombinációja szükséges. Több módszer is létezik a Cross-Site Scripting (XSS) támadások megelőzésére: bemeneti validálás, kimeneti kódolás, tartalombiztonsági politika (CSP) használata, biztonságos HTTP-fejléc használata, rendszeres biztonsági tesztelés. A téma keretei között a cél egy olyan adat- és információsrendszer-védelmi komplex stratégia és eszközkészlet kidolgozása, amely lehetővé teszi a különböző típusú, kiemelten az autentikációt igénylő webalkalmazásokat érintő támadásokkal – elsősorban a XSS-támadásokkal – szembeni hatékony védelmet, és automatizált, adaptív módon a megelőzésre helyezi a hangsúlyt. A jelölt feladata e cél elérésének érdekében modern gépi tanuló algoritmusok vizsgálatával és a jelenleg hatékonyan működő technikák kombinatív integrálásával egy komplex védelmet megvalósító módszer kidolgozása. A kutatási téma keretei között vizsgálat tárgyát képezi az információs rendszerekkel kapcsolatban levő humán faktor (üzemeltetői és felhasználói) viselkedésének vizsgálata, melynek ismeretében a HCI-korlátokat elkerülő védelmi stratégiák kidolgozására is lehetőség nyílik. A jelöltnek a kidolgozott módszerek hatékonyságát valós környezetben és benchmark adathalmazok felhasználásával kell bizonyítania. A kutatási téma előzményei: • Rehman, H.u., Nazir, M., Mustafa, K. (2017). Security of Web Application: State of the Art. In: Kaushik, S., Gupta, D., Kharb, L., Chahal, D. (eds) Information, Communication and Computing Technology. ICICCT 2017. Communications in Computer and Information Science, vol 750. Springer, Singapore. https://doi.org/10.1007/978-981-10-6544-6_17. • Hanna Paananen, Michael Lapke, Mikko Siponen, State of the art in information security policy development, Computers & Security, Volume 88, 2020, 101608, ISSN 0167-4048, • A. Razzaq, A. Hur, H. F. Ahmad and M. Masood, "Cyber security: Threats, reasons, challenges, methodologies and state of the art solutions for industrial applications," 2013 IEEE Eleventh International Symposium on Autonomous Decentralized Systems (ISADS), Mexico City, Mexico, 2013, pp. 1-6, doi: 10.1109/ISADS.2013.6513420. • S. M. Istiaque, M. T. Tahmid, A. I. Khan, Z. A. Hassan and S. Waheed, "State-of-the-Art Artificial Intelligence Based Cyber Defense Model," 2021 IEEE International Conference on Service Operations and Logistics, and Informatics (SOLI), Singapore, 2021, pp. 1-6, doi: 10.1109/SOLI54607.2021.9672393.

2023-09-01

2027-08-01

folyamatban lévő

Web alapú információs rendszerek, számítógép-hálózatok biztonságának vizsgálata