Статья опубликована в рамках: Научного журнала «Студенческий» № 22(360)
Рубрика журнала: Информационные технологии
Скачать книгу(-и): скачать журнал
КИБЕРБЕЗОПАСНОСТЬ ВЕБ-ПРИЛОЖЕНИЙ: ОСНОВНЫЕ УГРОЗЫ И МЕРЫ ЗАЩИТЫ
WEB APPLICATION CYBERSECURITY: MAIN THREATS AND PROTECTION MEASURES
Gmyrin Mikhail Aleksandrovich
Student, Faculty of Information Technologies, Moscow Polytechnic University,
Russia, Moscow
АННОТАЦИЯ
В статье рассматриваются основные угрозы безопасности веб-приложений и меры их снижения на этапах проектирования, разработки и эксплуатации. Показано, что защита веб-систем требует анализа рисков, безопасной обработки пользовательских данных, контроля доступа, защиты API, журналирования и регулярного тестирования.
ABSTRACT
The article considers the main security threats to web applications and measures to reduce them at the stages of design, development, and operation. It shows that web system protection requires risk analysis, secure data processing, access control, API protection, logging, and regular testing.
Ключевые слова: кибербезопасность; веб-приложение; защита информации; уязвимость; аутентификация; контроль доступа.
Keywords: cybersecurity; web application; information security; vulnerability; authentication; access control.
Веб-приложения являются одной из наиболее распространённых форм современных информационных систем. Через браузер пользователи получают доступ к личным кабинетам, образовательным платформам, интернет-магазинам, банковским сервисам и корпоративным порталам. Поэтому нарушение безопасности веб-приложения может привести не только к техническому сбою, но и к утечке персональных данных, финансовым потерям и снижению доверия к организации.
Особенность веб-приложений состоит в том, что они постоянно взаимодействуют с внешними пользователями и обрабатывают данные, поступающие из открытой сети. Любое поле ввода, форма авторизации, параметр запроса или программный интерфейс могут стать точкой атаки. Поэтому безопасность должна учитываться не после завершения разработки, а на протяжении всего жизненного цикла системы. [1]
Одной из типичных угроз являются инъекционные атаки. Они возникают, когда приложение передаёт непроверенные данные пользователя в запросы к базе данных, командной оболочке или другим компонентам. Для снижения риска применяются параметризованные запросы, валидация входных данных и отказ от формирования команд путём простого соединения строк. [2]
Не менее важной проблемой является нарушение контроля доступа. Пользователь может попытаться открыть чужой документ, изменить идентификатор объекта в адресной строке или обратиться к закрытому методу API. Поэтому приложение должно проверять права не только на уровне интерфейса, но и на стороне сервера. Скрытая кнопка или отсутствующая ссылка не являются достаточной мерой защиты, если сервер принимает запрос без проверки полномочий.
Отдельное значение имеет защита учётных записей. Механизмы регистрации и входа должны учитывать требования к сложности паролей, безопасному хранению хешей, ограничению количества попыток входа и защите от перебора. Для критически важных сервисов целесообразно использовать многофакторную аутентификацию. Восстановление пароля также должно быть защищено, поскольку злоумышленники часто используют именно этот сценарий.
Большая часть современных веб-приложений строится вокруг API, через которые взаимодействуют клиентская часть, мобильные приложения и внешние сервисы. Ошибки в проектировании API могут привести к раскрытию лишних данных, обходу авторизации или выполнению нежелательных действий. Поэтому для каждого метода необходимо определять допустимые роли, формат входных данных, ограничения частоты запросов и состав возвращаемой информации. [3]
Кибербезопасность веб-приложения связана не только с кодом, но и с настройкой инфраструктуры. Неправильные заголовки безопасности, открытые служебные панели, устаревшие библиотеки, слабые настройки TLS или избыточные права сервисных учётных записей повышают вероятность успешной атаки. Регулярное обновление зависимостей и проверка конфигурации должны быть частью сопровождения системы. [4]
Для повышения защищённости применяются тестирование безопасности и анализ кода. На этапе разработки важны статический анализ, проверка зависимостей и ревью критичных участков, а после развёртывания — сканирование уязвимостей и анализ журналов событий.
Таким образом, кибербезопасность веб-приложений требует комплексного подхода. Надёжная защита формируется за счёт безопасного проектирования, корректной обработки данных, строгого контроля доступа, защиты API и регулярного тестирования. Чем раньше требования безопасности включаются в разработку, тем ниже риск серьёзных уязвимостей после внедрения системы.
Список литературы:
- Мельников В.П. и др. Информационная безопасность и защита информации. М.: Академия, 2006. — 336 с.
- Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. М.: Горячая линия — Телеком, 2000. — 449 с.
- Петренко С.А., Симонов С.В. Управление информационными рисками. М.: ДМК Пресс, 2009. — 394 с.
- OWASP Foundation. OWASP Top 10:2021. Web Application Security Risks, 2021.

