РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ ГОСУДАРСТВЕННАЯ РЕГИСТРАЦИЯ ПРОГРАММЫ ДЛЯ ЭВМ Номер регистрации (свидетельства): 2016615100 Дата регистрации: 16.05.2016 Номер и дата поступления заявки: 2016612434 21.03.2016 Дата публикации: 20.06.2016 Контактные реквизиты: 394006, г. Воронеж, Университетская площадь, 1, ФГБОУ ВО "ВГУ", Центр коммерциализации технологий Авторы: Азарнова Татьяна Васильевна, Полухин Павел Валерьевич Правообладатель: федеральное государственное бюджетное образовательное учреждение высшего образования «Воронежский государственный университет» Название программы для ЭВМ: «Комплексная методика тестирования уязвимостей нарушения конфигурации системы» Реферат: Программа предназначена для организаций, специализирующихся на разработке программных продуктов на этапах тестирования, а также компаний предоставляемых услуги по аудиту и анализу защищённости приложений. Программа представляет собой комплексное решение по тестированию нарушений конфигурации системы, при этом позволяет осуществлять прогноз появления данных уязвимостей. Программа позволяет выявить уязвимости, связанные с неправильной установкой параметров для всех компонентов веб-приложений: фреймворков, веб-серверов, сервера баз данных, исполняемой платформы и дополнительных конфигураций. При этом комплексность тестирования особенно важна в тех случаях, когда если среда исполнения и функционирования для нескольких приложений одна и также, например, различного рода хостинги и облачные платформы, при этом ошибки конфигурации могут быть удвоены потенциальными рисками. Программа позволяет анализировать раскрытия данного типа уязвимостей за счет попытки использовать пароли и учетные записи, в частности паролей, которые, как правило, устанавливаются по умолчанию, просматривая ошибки и стек вызовов , систем управления базами данных и веб-фреймворков, а также исполняемой среды: (веб-сервера и сервера приложений), что позволяет получить полную и детальную информацию о внутренних механизмах функционирования приложения, анализировать обрабатываемые параметры и программную логику. Для прогнозирования возникновения уязвимостей в программе реализован математический аппарат динамических Байесовских сетей (ДБС). В рамках создания используются два временных интервала (среза). Первый интервал характеризует состояние тестовой системы без параметров безопасности, а второй с примененными обновлениями безопасности. Это позволяет дать оценку эффективности и корректности написания и применения механизмов защиты, так как они должны покрывать все обнаруженные уязвимости. Для построения ДБС производится вычисление апостериорных вероятностей на основе фаззинга методом черного ящика, при этом, считается, что программа не знает, какое именно приложение мы тестируем, а именно, какие параметры конфигурации она имеет. Для построения модели перехода и восприятие происходит адаптирование и применение механизмов защиты к тестируемым приложениям и цикл фаззинга повторяется еще раз. После построения ДБС для формирования выборок, согласующихся со свидетельствами, используется алгоритм фильтрации частиц. Данный алгоритм позволяет решить задачи прогнозирования фильтрации и сглаживания. Результатом работы программы является вероятностная оценка появления уязвимостей нарушения конфигурации системы, при наличии некоторых свидетельств. В качестве свидетельств в контексте тестирования выступают некоторые переменные - следствия, которые возникают при обнаружении уязвимостей нарушения конфигурации системы. Тип реализующей ЭВМ: IBM PC - совмест. ПК Язык программирования: Java Вид и версия операционной системы: Windows, Linux, MacOS X Объем программы для ЭВМ: 677.07 Кб