Цель: получить инструмент для поиска уязвимостей в системе контроля доступа веб-приложений методом черного ящика и руководство по его использованию.
Задачами курсовой работы являются:
• формализация модели уязвимости, формулировка предположений и ограничений, в рамках которых модель будет работать;
• описание метода тестирования веб-приложения с применением разработанной модели;
• реализация инструментального средства, автоматизирующего описанный метод (требования к инструментальному средству формулируются мной);
• исследование эффективности инструментального средства на предоставленных мной веб-приложениях (два синтетических, одно реальное, методика тестирования предоставляется мной).
План работы:
- Осенний семестр.
a. Изучение классических моделей уязвимостей, основанных на потоках информации (модель non-interference и её развитие).
b. Изучение макета средства, получение опыта работы с ним при работе с синтетическими приложениями (предоставляются мной). Формирование собственного мнения на предмет «чего не хватает в макете» и «какие бывают проблемы при анализе веб-приложений».
Срок по первым пунктам: 13 октября (уже почти готово).
c. Формализация модели уязвимости, формулировка предположений и ограничений, в рамках которых модель будет работать.
d. Описание метода тестирования веб-приложения с применением разработанной модели.
Срок: 18 ноября.
e. Реализация инструментального средства, автоматизирующего описанный метод
Срок: 10 февраля. - Весенний семестр.
a. Исследование эффективности инструментального средства на предоставленных мной веб-приложениях (два синтетических, одно реальное). Интерпретация результатов. Возможная доработка средства.
Срок: 10 марта.
b. Написание текста курсовой работы.
c. Написание статьи.
Срок: до упора.