Publication: ПРАКТИКО-ОРИЕНТИРОВАННЫЙ ПОДХОД В ОБУЧЕНИИ ЗАЩИТЕ ФОРМ АВТОРИЗАЦИИ ВЕБ-ПРИЛОЖЕНИЙ ОТ РАСПРОСТРАНЕННЫХ УГРОЗ
Дата
2026
Авторы
Филимонова, О. С.
Филимонова, Е. И.
Батарин, А. А.
Journal Title
Безопасность информационных технологий
Journal ISSN
Volume Title
Безопасности Информационных Технологий
Издатель
НИЯУ МИФИ
Аннотация
Статья представляет собой практико-ориентированное исследование, нацеленное на формирование у обучающихся навыков безопасной разработки веб-приложений. В центре внимания – комплексный учебный кейс по защите формы авторизации от наиболее распространенных угроз. Цель работы – разработка и апробация структурированного подхода к изучению и практическому применению базовых принципов безопасного программирования. Основное внимание уделяется защите от SQL-инъекций, межсайтового скриптинга (XSS), подделки межсайтовых запросов (CSRF) и атак перебором учетных данных. Актуальность исследования обусловлена сохраняющейся высокой частотой эксплуатации указанных уязвимостей в современных веб-системах. Методология исследования основана на экспериментальном подходе с использованием современных инструментов тестирования. На специально развернутом учебном стенде реализована защищенная форма входа с многоуровневой системой безопасности. Разработка включала строгую валидацию входных данных по принципу белого списка, применение параметризованных запросов к базе данных, реализацию механизмов защиты сессий, генерацию CSRF-токенов и внедрение системы защиты от перебора. Для проверки эффективности предложенных мер проводилось комплексное тестирование с использованием автоматизированного сканера уязвимостей OWASP ZAP. Результаты экспериментального исследования подтвердили высокую эффективность разработанного комплекса мер. Тестовая форма авторизации продемонстрировала устойчивость ко всем основным типам автоматизированных атак. В ходе тестирования выявлены отдельные конфигурационные недочеты: отсутствие строгой политики безопасности контента (CSP) и заголовка HSTS, а также избыточно детализированный вывод ошибок сервера. На основе анализа результатов разработан план донастройки системы безопасности, включающий отключение подробного вывода ошибок, реализацию CSP и организацию регулярного регрессионного сканирования. Практическая значимость работы заключается в создании систематизированного набора проверенных рекомендаций для разработчиков и специалистов по информационной безопасности. Предложенные решения позволяют существенно снизить риски, связанные с компрометацией учетных данных пользователей, и могут быть успешно адаптированы как для учебных проектов, так и для коммерческой разработки. Все рассмотренные методы защиты прошли практическую апробацию и показали свою эффективность в условиях, приближенных к реальной эксплуатации.
Описание
Ключевые слова
Политика безопасности контента , CSRF-токены , Защита сессий , Атаки перебором , Подделка межсайтовых запросов , Межсайтовый скриптинг , SQL-инъекции , Формы авторизации , Безопасность веб-приложений
Цитирование
Филимонова, О., Филимонова, Е., Батарин, А. (2026). Практикоориентированный подход в обучении защите форм авторизации веб-приложений от распространенных угроз. Безопасность информационных технологий, 33(2), 38-48. doi: http://dx.doi.org/10.26583/bit.2026.2.05