СИСТЕМНИЙ ПІДХІД ДО БЕЗПЕКИ ВЕБДОДАТКІВ: АНАЛІЗ ЗАГРОЗ ТА МЕТОДИ КІБЕРЗАХИСТУ

Автор(и)

DOI:

https://doi.org/10.18372/2410-7840.26.20022

Ключові слова:

кібербезпека, вразливості вебдодатків, OWASP Top 10, статичний аналіз коду, динамічний аналіз, машинне навчання, автоматизоване виявлення вразливостей, кіберзагрози

Анотація

Дослідження присвячене аналізу поширених вразливостей вебдодатків, їх впливу на безпеку інформаційних систем, економічні, репутаційні та правові наслідки, а також методи їх виявлення та усунення. Проведено всебічний огляд сучасного стану безпеки вебдодатків, включаючи статистичні дані щодо актуальних загроз, аналіз тенденцій розвитку атак та розгляд найвідоміших інцидентів останніх років. Особливу увагу приділено порівнянню різних підходів до класифікації вразливостей, зокрема OWASP Top 10, CWE Top 25, MITRE ATT&CK, NIST SP 800-53 та інших стандартів, з метою оцінки їх ефективності та практичного застосування. У роботі розглянуто методи тестування безпеки вебдодатків, зокрема статичний (SAST), динамічний (DAST) та інтерактивний аналіз (IAST), а також можливості застосування штучного інтелекту та машинного навчання (AI/ML) для автоматизованого виявлення загроз. Досліджено переваги та недоліки різних методів кіберзахисту, а також практичні аспекти їх використання у реальних умовах. Крім того, проведено детальний аналіз впливу вразливостей на організації, зокрема їх економічні наслідки, репутаційні ризики, а також правові наслідки. Результати дослідження дозволяють сформувати комплексний підхід до мінімізації ризиків, що включає впровадження передових методів аналізу безпеки, використання рекомендацій міжнародних стандартів та застосування сучасних інструментів кіберзахисту. Це забезпечує ефективніше виявлення та усунення загроз на ранніх етапах розробки та експлуатації вебдодатків.

Біографії авторів

Анна Ільєнко, Державний університет «Київський авіаційний інститут»

к.т.н., доцент, завідувач кафедри кібербезпеки, Державного некомерційного підприємства «Державний університет «Київський авіаційний інститут», м.Київ, Україна.

Денис Спис, Державний університет «Київський авіаційний інститут»

Аспірант кафедри кібербезпеки, Державного некомерційного підприємства «Державний університет «Київський авіаційний інститут», м.Київ, Україна.

Лілія Галата, Державний університет «Київський авіаційний інститут»

Доктор філософії, доцент кафедри кібербезпеки, Державного некомерційного підприємства «Державний університет «Київський авіаційний інститут», м.Київ, Україна.

Олена Дубчак, Державний університет «Київський авіаційний інститут»

Cтарший викладач кафедри кібербезпеки, Державного некомерційного підприємства «Державний університет «Київський авіаційний інститут», м. Київ, Україна.

Посилання

Verizon, «2024 Data Breach Investigations Report». [Електронний ресурс]. Режим доступу: https://www.verizon.com/business/resources/T807/reports/2024-dbir-data-breach-investigations- report.pdf.

Barracuda. «Threat Spotlight: Attackers Targeting Web Applications Right Now», 2024. [Електронний ресурс]. Режим доступу: https://blog.barracuda.com/2024/02/07/threat-spotlight- attackers-targeting-web-applications-right-now.

Statista, «Cybercrime Target Industries 2024». [Електронний ресурс]. Режим доступу: https://www.statista.com/statistics/221293/cyber-crime-target-industries/.

Cloud Security Alliance, «What we know about vulnerability exploitation in 2024 so far». [Електронний ресурс]. Режим доступу: https://cloudsecurityalliance.org/blog/2024/06/12/what-we- know-about-vulnerability-exploitation-in-2024-so-far.

C. C. Aladi, «Web Application Security: A Pragmatic Exposé», Electronics, Vol. 11, Issue 13, 2024. DOI: 10.1145/3644394. [Електронний ресурс]. Режим доступу: https://www.mdpi.com/2079- 9292/11/13/2049.

M. S. Chughtai et al., «Deep learning trends and future perspectives of web security and vulnerabilities», 2024. DOI: 10.3233/JHS-230037. [Електронний ресурс]. Режим доступу: https://ouci.dntb.gov.ua/en/works/4y6dzKgl/.

O. Ezenwoye, Y. Liu, W. Patten, «Classifying common security vulnerabilities by software type», Proceedings of the 32nd International Conference on Software Engineering and Knowledge Engineering (SEKE 2020), 2020. DOI: 10.18293/SEKE2020-047. [Електронний ресурс]. Режим доступу: https://ksiresearch.org/seke/seke20paper/paper047.pdf.

M. Althunayyan et al., «Evaluation of Black-Box Web Application Security Scanners in Detecting Injection Vulnerabilities», Electronics, Vol. 11, Issue 13, 2022. DOI: 10.3390/electronics11132049. [Електронний ресурс]. Режим доступу: https://www.mdpi.com/2079-9292/11/13/2049.

M. A. Yalçınkaya, E. U. Küçüksille, «Artificial Intelligence and Dynamic Analysis-Based Web Application Vulnerability Scanner», ISECURE Journal, Vol. 16, Issue 1, 2024. DOI: 10.22042/isecure.2023.367746.847. [Електронний ресурс]. Режим доступу: https://www.isecure- journal.com/article_183555_f52954f44ac33e6b456862c7a8ad3ad5.pdf.

He Su et al., «Splendor: Static Detection of Stored XSS in Modern Web Applications», Proceedings of the 2023 International Symposium on Software Testing and Analysis (ISSTA), 2023. DOI: 10.1145/3597926.3598116.[Електронний ресурс]. Режим доступу: https://2023.issta.org/details/issta-2023-technical-papers/75/Splendor-Static-Detection-of-Stored- XSS-in-Modern-Web-Applications.

El País, «2024 bate récords históricos en ciberataques que, con ayuda de la IA, son cada vez más precisos», 2024. [Електронний ресурс]. Режим доступу: https://elpais.com/tecnologia/2024-12- 31/2024-bate-records-historicos-en-ciberataques-que-con-ayuda-de-la-ia-son-cada-vez-mas- precisos.html.

Federal Trade Commission (FTC), «Equifax Data Breach Settlement». [Електронний ресурс]. Режим доступу: https://www.ftc.gov/ enforcement/refunds/equifax-data-breach-settlement.

Reuters, «Twitter hacked: 200 million user email addresses leaked, researcher says», 2023. [Електронний ресурс]. Режим доступу: https://www.reuters.com/technology/twitter-hacked-200- million-user-email-addresses-leaked-researcher-says-2023-01-05.

OWASP Foundation, «OWASP Top 10». [Електронний ресурс]. Режим доступу: https://www.blackduck.com/glossary/what-is-owasp-top-10.htm.

Outpost24, «OWASP Top 10 2021: What is new?». [Електронний ресурс]. Режим доступу: https://outpost24.com/blog/owasp-top-10-2021-what-is-new.

SecOp Solution, «OWASP Top 10 vs SANS 25». [Електронний ресурс]. Режим доступу: https://www.secopsolution.com/blog/owasp-top-10-vs-sans-25.

MITRE, «ATT&CK Framework». [Електронний ресурс]. Режим доступу: https://attack.mitre.org/.

Kiuwan, «How NIST SP 800-53 Revision 5 Affects Application Security». [Електронний ресурс]. Режим доступу: https://www.kiuwan.com/blog/how-nist-sp-800-53-revision-5-affects-application- security.

Hyperproof, «NIST 800-53 Compliance Guide». [Електронний ресурс]. Режим доступу: https://hyperproof.io/nist-800-53/.

Stripe, «PCI Compliance Guide». [Електронний ресурс]. Режим доступу: https://stripe.com/ie/guides/pci-compliance.

ISO/IEC 27034, «Application Security Guidelines». [Електронний ресурс]. Режим доступу: https://www.iso27001security.com/html/27034.html.

Rippleshot. «How Data Breaches Impact Brand Value», [Електронний ресурс]. Режим доступу: https://www.rippleshot.com/post/how-data-breaches-impact-brand-value.

GDPR EU. «What does it mean to be GDPR compliant in 2025?», [Електронний ресурс]. Режим доступу: https://www.gdpreu.org/what-does-it-mean-to-be-gdpr-compliant-2025/.

Morillo, C., «97 Things Every Information Security Professional Should Know: Collective Wisdom from the Experts», 2021.

Imperva, «SAST, IAST, DAST – Understanding the Differences». [Електронний ресурс]. Режим доступу: https://www.imperva.com/learn/application-security/sast-iast-dast/.

Nature, «Latest Cybersecurity Threats and Trends», 2024. [Електронний ресурс]. Режим доступу: https://www.nature.com/articles/s41598-024-56871-z.

IEEE, «Web Application Vulnerability Detection Methods», 2024. [Електронний ресурс]. Режим доступу: https://ieeexplore.ieee.org/abstract/document/8614145.

##submission.downloads##

Опубліковано

2025-05-20

Номер

Том 26 № 2 (2024): Захист інформації

Розділ

Статті

Ліцензія

Автори, які публікуються у цьому журналі, погоджуються з наступними умовами:

  1. Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.

  2. Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.

  3. Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).