Publication: ПРАКТИКО-ОРИЕНТИРОВАННЫЙ ПОДХОД В ОБУЧЕНИИ ЗАЩИТЕ ФОРМ АВТОРИЗАЦИИ ВЕБ-ПРИЛОЖЕНИЙ ОТ РАСПРОСТРАНЕННЫХ УГРОЗ
| creativeworkseries.issn | 2074-7128 (Print) | |
| dc.contributor.author | Филимонова, О. С. | |
| dc.contributor.author | Филимонова, Е. И. | |
| dc.contributor.author | Батарин, А. А. | |
| dc.date.accessioned | 2026-04-29T07:38:26Z | |
| dc.date.available | 2026-04-29T07:38:26Z | |
| dc.date.issued | 2026 | |
| dc.description.abstract | Статья представляет собой практико-ориентированное исследование, нацеленное на формирование у обучающихся навыков безопасной разработки веб-приложений. В центре внимания – комплексный учебный кейс по защите формы авторизации от наиболее распространенных угроз. Цель работы – разработка и апробация структурированного подхода к изучению и практическому применению базовых принципов безопасного программирования. Основное внимание уделяется защите от SQL-инъекций, межсайтового скриптинга (XSS), подделки межсайтовых запросов (CSRF) и атак перебором учетных данных. Актуальность исследования обусловлена сохраняющейся высокой частотой эксплуатации указанных уязвимостей в современных веб-системах. Методология исследования основана на экспериментальном подходе с использованием современных инструментов тестирования. На специально развернутом учебном стенде реализована защищенная форма входа с многоуровневой системой безопасности. Разработка включала строгую валидацию входных данных по принципу белого списка, применение параметризованных запросов к базе данных, реализацию механизмов защиты сессий, генерацию CSRF-токенов и внедрение системы защиты от перебора. Для проверки эффективности предложенных мер проводилось комплексное тестирование с использованием автоматизированного сканера уязвимостей OWASP ZAP. Результаты экспериментального исследования подтвердили высокую эффективность разработанного комплекса мер. Тестовая форма авторизации продемонстрировала устойчивость ко всем основным типам автоматизированных атак. В ходе тестирования выявлены отдельные конфигурационные недочеты: отсутствие строгой политики безопасности контента (CSP) и заголовка HSTS, а также избыточно детализированный вывод ошибок сервера. На основе анализа результатов разработан план донастройки системы безопасности, включающий отключение подробного вывода ошибок, реализацию CSP и организацию регулярного регрессионного сканирования. Практическая значимость работы заключается в создании систематизированного набора проверенных рекомендаций для разработчиков и специалистов по информационной безопасности. Предложенные решения позволяют существенно снизить риски, связанные с компрометацией учетных данных пользователей, и могут быть успешно адаптированы как для учебных проектов, так и для коммерческой разработки. Все рассмотренные методы защиты прошли практическую апробацию и показали свою эффективность в условиях, приближенных к реальной эксплуатации. | |
| dc.description.uri | https://bit.spels.ru/index.php/bit/article/view/1943/1550 | |
| dc.identifier.citation | Филимонова, О., Филимонова, Е., Батарин, А. (2026). Практикоориентированный подход в обучении защите форм авторизации веб-приложений от распространенных угроз. Безопасность информационных технологий, 33(2), 38-48. doi: http://dx.doi.org/10.26583/bit.2026.2.05 | |
| dc.identifier.doi | 10.26583/bit.2026.2.05 | |
| dc.identifier.uri | https://openrepository.mephi.ru/handle/123456789/42141 | |
| dc.publisher | НИЯУ МИФИ | |
| dc.subject | Политика безопасности контента | |
| dc.subject | CSRF-токены | |
| dc.subject | Защита сессий | |
| dc.subject | Атаки перебором | |
| dc.subject | Подделка межсайтовых запросов | |
| dc.subject | Межсайтовый скриптинг | |
| dc.subject | SQL-инъекции | |
| dc.subject | Формы авторизации | |
| dc.subject | Безопасность веб-приложений | |
| dc.title | ПРАКТИКО-ОРИЕНТИРОВАННЫЙ ПОДХОД В ОБУЧЕНИИ ЗАЩИТЕ ФОРМ АВТОРИЗАЦИИ ВЕБ-ПРИЛОЖЕНИЙ ОТ РАСПРОСТРАНЕННЫХ УГРОЗ | |
| dc.title.alternative | НАУЧНЫЕ СТАТЬИ | |
| dc.type | Article | ru |
| dspace.entity.type | Publication | |
| journal.title | Безопасность информационных технологий | |
| journalvolume.identifier.name | Безопасности Информационных Технологий | |
| relation.isJournalIssueOfPublication | 32e45104-a152-429a-b7ef-835a116f285f | |
| relation.isJournalIssueOfPublication.latestForDiscovery | 32e45104-a152-429a-b7ef-835a116f285f | |
| relation.isJournalOfPublication | 3b9ae913-eaeb-4d29-a767-7f6ca8a0e066 |