References

moitvivt

Моделирование, оптимизация и информационные технологии

Modeling, Optimization and Information Technology

2310-6018

Издательство

10.26102/2310-6018/2021.35.4.038

1112

Анализ защищенности веб-приложения для доступа к системе хранения критически важных данных

Security analysis of a web application for accessing the critical data storage system

0000-0001-5857-2413

Вульфин

Алексей Михайлович

Vulfin

Alexey Mikhailovich

vulfin.alexey@gmail.com aff-1

Уфимский государственный авиационный технический университет Ufa State Aviation Technical University

01 01 2026

1 1

10.26102/2310-6018/2021.35.4.038

2026

This work is licensed under a Creative Commons Attribution 4.0 International License

В работе рассматривается проблема обеспечения защищенного доступа с помощью веб-приложения к существующей базе данных, содержащей критически важную информацию о параметрах жизненного цикла сложных технических изделий. На основе анализа документа международной организации Web Application Security Consortium (WASC) «The WASC Threat Classification v2.0» выделены возможные атаки на веб-приложение, выступающее в качестве однонаправленной прослойки доступа к базе данных, эксплуатирующие потенциальные уязвимости (недостатки аутентификации, недостатки авторизации, атаки на стороне клиента, выполнение вредоносного кода на стороне сервера), разработан комплекс контрмер применительно к архитектуре веб-приложения. Разработана схема, описывающая контрмеры применительно к Model-View-Controller архитектуре web-приложения. Представлена диаграмма первого уровня декомпозиции функциональной модели работы веб-приложения. Для обеспечения безопасности на уровне сети модернизирована базовая архитектура сети предприятия с демилитаризованной зоной и соответствующей конфигурацией межсетевых экранов. Для оценки защищенности использованы внутренние метрики защищенности программного обеспечения, а также использована методика анализа рисков кибербезопасности на основе нечетких серых когнитивных карт, позволившая количественно оценить снижение относительно риска нарушения целостности накапливаемых данных в 3,5 раза. Рассмотрены четыре сценария воздействия злоумышленника: без использования дополнительных контрмер, применение архитектурной организации веб-приложения прослойки, учитывающего основные паттерны обеспечения кибербезопасности, применение Web-application Firewall (WAF), применение архитектурной организации приложения и WAF.

The paper deals with the issue of providing secure access using a web application to an existing database containing critical information about the parameters of complex technical products life cycle. Based on the analysis of the document of the international organization Web Application Security Consortium (WASC) "The WASC Threat Classification v2.0", possible attacks on a web application, acting as a unidirectional layer of access to the database, exploiting potential vulnerabilities (authentication flaws, authorization flaws, client-side attacks, execution of malicious code on the server-side) have been highlighted and a set of countermeasures has been devised in relation to the architecture of a web application. A pattern has been developed that describes countermeasures concerning the Model-View-Controller architecture of a web application. The diagram of the first level of the web application functional model decomposition is presented. To ensure security at the network level, the basic architecture of the enterprise network with a demilitarized zone and the corresponding configuration of firewalls has been modernized. To assess the security, the internal metrics of software security were utilized, and the cybersecurity risk analysis method by means of fuzzy gray cognitive maps was applied which made it possible to quantitatively assess the reduction with regard to the risk of the accumulated data integrity violation by 3.5 times. Four scenarios of the attacker's impact are considered: without the use of additional countermeasures, the use of the web application layer architectural organization, which takes into account the main patterns of cybersecurity, the use of the Web-application Firewall (WAF), the use of the application architectural organization, and WAF.

защищенный доступ базовая архитектура архитектурный паттерн Model-View-Controller вектор атак Web-application Firewall нечеткая когнитивная карта оценка рисков

secure access basic architecture Model-View-Controller architectural pattern attack vector Web-application Firewall fuzzy cognitive map risk assessment

Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 20-08-00668

The study was funded by RFBR as a part of the research project No. 20-08-00668.

References 1

Frid A.I. et al. Architecture of the Security Access System for Information on the State of the Automatic Control Systems of Aircraft. Acta Polytechnica Hungarica. 2020;17(8):151–164.

Frid A.I. et al. The architecture of the web application for protected access to the informational system of processing critically important information. Proceedings of 19th International Workshop «Computer Science and Information Technologies» (CSIT’2017), Baden-Baden, Germany. 2017;16–22.

Гузаиров М.Б. и др. Защищенный доступ к базе данных о состоянии систем автоматического управления (САУ) авиационными ГТД через веб-приложение. Информация и безопасность. 2017;20(3):410–413.

Web Application Security Consortium. Доступно по: http://www.webappsec.org/ (дата обращения: 20.10.2021).

Huang H.C. et al. Web application security: Threats, countermeasures, and pitfalls. Computer. 2017;50(6):81–85.

OWASP Top Ten Project. Доступно по: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project (дата обращения: 20.10.2021).

Wichers D. OWASP TOP-10 2013. OWASP Foundation, February. 2013.

Wiradarma A.A.B.A., Sasmita G.M.A. IT Risk Management Based on ISO 31000 and OWASP Framework using OSINT at the Information Gathering Stage (Case Study: X Company). International Journal of Computer Network and Information Security. 2019;11(12):17–29.

Recommendations of the National Institute of Standards and Technology. NIST. 2014:128.

The WASC Threat Classification v2.0. Доступно по: http://projects.webappsec.org/w/page/13246978/Threat%20Classification (дата обращения: 20.10.2021).

Васильев В.И., Вульфин А.М., Гузаиров М.Б., Кириллова А.Д. Интервальное оценивание информационных рисков с помощью нечетких серых когнитивных карт. Информационные технологии. 2018;24(10):657–664.

Васильев В.И. и др. Оценка рисков кибербезопасности АСУ ТП промышленных объектов на основе вложенных нечетких когнитивных карт. Информационные технологии. 2020;26(4):213–221.

Васильев В.И., Вульфин А.М., Черняховская Л.Р. Анализ рисков инновационных проектов с использованием технологии многослойных нечетких когнитивных карт. Программная инженерия. 2020;11(3):142–151.

The authors declare that there are no conflicts of interest present.