ИСТИНА |
Войти в систему Регистрация |
|
ИСТИНА ЦЭМИ РАН |
||
Работа направлена на создание моделей и методов анализа сложных программ на примере динамических веб-приложений для обнаружения программных уязвимостей, вредоносных клиентских программ и защиты приложений от компьютерных атак.
The project is focused on developing models and methods for complex programs analysis, using dynamic web apps as a reference example, aiming at vulnerability discovery, malicious client discovery and intrusion detection.
1) Модели функционирования динамических веб-приложений и программных уязвимостей в клиентской и серверной стороне приложения. Модели вредоносных клиентов веб-приложений; 2) Методы, алгоритмы и инструментальные средства обнаружения уязвимостей в динамических веб-приложениях и обнаружения попыток реализации атак на эти уязвимости, методы обнаружения вредоносных клиентов веб-приложений; 3) Методы, алгоритмы и инструментальные средства обеспечения защиты передаваемых данных в условиях функционирования в не доверенном окружении.
В период с 2014 по 2019 гг. участники НИР исследовали методы обнаружения уязвимостей в веб-приложениях, методы обнаружения вредоносных приложений для ОС Android, опубликованы работы о типовых проблемах анализа динамических веб-приложений, об обнаружении частных примеров уязвимостей (например, DOMXSS). Для обнаружения DOMXSS разработан метод и инструментальное средство статического анализа программ на языке JavaScript на основе подхода тейнт-анализа (анализа распространения меток). В то же время, больший интерес представляет анализ уязвимостей серверной стороны приложения методом "черного ящика", что требует решения более общей задачи анализа интерфейсной части приложения и выявления всех точек ввода данных, что и планируется решать в ходе НИР как одну из частных задач.
МГУ имени М.В.Ломоносова | Координатор |
госбюджет, раздел 0110 (для тем по госзаданию) |
# | Сроки | Название |
1 | 1 января 2020 г.-31 декабря 2020 г. | Исследование и формализация предметной области, разработка математических моделей |
Результаты этапа: 1) Тестовые примеры динамических веб-приложений с искуственно внесенными уязвимостями, реализуемыми через динамические элементы на языке JavaScript, которые затрудняют анализ и обнаружение уязвимостей существующими методами. 2) Анализ существующих методов, в том числе с использованием разработанного набора тестовых примеров. 3) Математическая модель программной уязвимости на примере динамических веб-приложений, построенных с использованием HTML5 и языка JavaScript. Классификация уязвимостей в терминах модели. | ||
2 | 1 января 2021 г.-31 декабря 2021 г. | Разработка методов и алгоритмов |
Результаты этапа: 1) Методы и алгоритмы анализа клиентской части динамических веб-приложений для обнаружения уязвимостей серверной части приложения. 2) Тестовая выборка веб-приложений для проведения экспериментальных исследований. 3) Методы и алгоритмы анализа поведения клиентских программ с целью обнаружения вредоносных клиентов. | ||
3 | 1 января 2022 г.-31 декабря 2022 г. | Экспериментальные исследования |
Результаты этапа: Сделана программная реализация методов обнаружения уязвимостей в веб-приложениях, которая позволяе анализировать современные веб-приложения методом "черного ящика" на наличие программных уязвимостей типа "внедрение кода" на серверной или клиентской стороне приложения. Основной научный результат заключается в разработке метода статического анализа программ на языке JavaScript клиентской стороны приложения для обнаружения точек ввода данных на серверной стороне приложения, что позволяет обнаруживать серверные интерфейсы, недоступные при классических способах обхода веб-приложений. Проведены экспериментальные исследования на публично доступных приложениях. Готовятся к публикации 2 статьи по результатам экспериментальных исследований. Также разработан алгоритм извлечения модели точки ввода данных серверной стороны веб-приложения, которая использует формат обмена данными JSON, на основе анализа трафика между приложением и клиентами. Результаты по данному пункту опубликованы в журнале "Прикладная дискретная математика" в 2022 году. | ||
4 | 1 января 2023 г.-31 декабря 2023 г. | Разработка инструментальных средств |
Результаты этапа: На основе ранее реализованных в рамках НИР методов обнаружения уязвимостей в веб-приложениях, разработано инструментальное средство динамического анализа защищенности веб-приложений, которое позволяет анализировать современные веб-приложения методом "черного ящика" на наличие программных уязвимостей типа "внедрение кода" на серверной или клиентской стороне приложения. Разработанный инструмент в сравнении с другими существующими средствами поиска уязвимостей позволяет расширить поверхность атаки при помощи метода статического анализа программ на языке JavaScript клиентской стороны приложения для обнаружения точек ввода данных на серверной стороне приложения, что позволяет обнаруживать серверные интерфейсы, недоступные при классических способах обхода веб-приложений. Проведены экспериментальные исследования на публично доступных приложениях и опубликованы их результаты в журналах "Программная инженерия" и "Труды ИСП РАН", а также на конференциях. | ||
5 | 1 января 2024 г.-31 декабря 2024 г. | Уточнение моделей, алгоритмов, повторные эксперименты на контрольной выборке данных |
Результаты этапа: |
Для прикрепления результата сначала выберете тип результата (статьи, книги, ...). После чего введите несколько символов в поле поиска прикрепляемого результата, затем выберете один из предложенных и нажмите кнопку "Добавить".
№ | Имя | Описание | Имя файла | Размер | Добавлен |
---|