Безопасность информационных технологий

Статья представляет собой практико-ориентированное исследование, нацеленное на формирование у обучающихся навыков безопасной разработки веб-приложений. В центре внимания – комплексный учебный кейс по защите формы авторизации от наиболее распространенных угроз. Цель работы – разработка и апробация структурированного подхода к изучению и практическому применению базовых принципов безопасного программирования. Основное внимание уделяется защите от SQL-инъекций, межсайтового скриптинга (XSS), подделки межсайтовых запросов (CSRF) и атак перебором учетных данных. Актуальность исследования обусловлена сохраняющейся высокой частотой эксплуатации указанных уязвимостей в современных веб-системах. Методология исследования основана на экспериментальном подходе с использованием современных инструментов тестирования. На специально развернутом учебном стенде реализована защищенная форма входа с многоуровневой системой безопасности. Разработка включала строгую валидацию входных данных по принципу белого списка, применение параметризованных запросов к базе данных, реализацию механизмов защиты сессий, генерацию CSRF-токенов и внедрение системы защиты от перебора. Для проверки эффективности предложенных мер проводилось комплексное тестирование с использованием автоматизированного сканера уязвимостей OWASP ZAP. Результаты экспериментального исследования подтвердили высокую эффективность разработанного комплекса мер. Тестовая форма авторизации продемонстрировала устойчивость ко всем основным типам автоматизированных атак. В ходе тестирования выявлены отдельные конфигурационные недочеты: отсутствие строгой политики безопасности контента (CSP) и заголовка HSTS, а также избыточно детализированный вывод ошибок сервера. На основе анализа результатов разработан план донастройки системы безопасности, включающий отключение подробного вывода ошибок, реализацию CSP и организацию регулярного регрессионного сканирования. Практическая значимость работы заключается в создании систематизированного набора проверенных рекомендаций для разработчиков и специалистов по информационной безопасности. Предложенные решения позволяют существенно снизить риски, связанные с компрометацией учетных данных пользователей, и могут быть успешно адаптированы как для учебных проектов, так и для коммерческой разработки. Все рассмотренные методы защиты прошли практическую апробацию и показали свою эффективность в условиях, приближенных к реальной эксплуатации.

безопасность веб-приложений, формы авторизации, SQL-инъекции, межсайтовый скриптинг, подделка межсайтовых запросов, атаки перебором, защита сессий, CSRF-токены, политика безопасности контента

1. Upadhyay D., Ware N.R. (2023). Evolving Trends in Web Application Vulnerabilities: A Comparative Study of OWASP Top 10 2017 and OWASP Top 10 2021. International Journal of Engineering Technology and Management Sciences, 7(6), 262. DOI: https://doi.org/10.46647/ijetms.2023.v07i06.038.

2. Сомова М. В., Макаренко К. Е. Анализ уязвимостей веб-приложений и разработка средств защиты. Научные высказывания. 2025, № 11(79), c. 22. URL: https://nvjournal.ru/media/NV_79_WEB.pdf#page=22 (дата обращения: 15.12.2025). EDN: YDCITK.
Somova M.V., Makarenko K.E. Analiz uiazvimostei veb-prilozhenii i razrabotka sredstv zashchity [Analysis of web application vulnerabilities and development of protection tools]. Nauchnye vyskazyvaniya [Scientific Statements]. 2025, no. 11(79), p. 22. URL: https://nvjournal.ru/media/NV_79_WEB.pdf#page=22 (accessed: 15.12.2025). EDN: YDCITK (in Russian).

3. Мударов Д.А., Исаева Л.М. Принципы проектирования веб-приложений: от идеи до релиза. Вестник науки. 2025, № 6(87), т. 4, с. 1231-1235. EDN: MOHUVR.
Mudarov D.A., Isaeva L.M. Design principles web applications: from idea to release. Vestnik nauki [Herald of Science]. 2025, no. 6(87), v. 4, pp. 1231-1235. EDN: MOHUVR (in Russian).

4. Шутько Н.А. Теоретические понятия защиты web-приложения от уязвимостей. Вестник науки. 2022, т. 4, № 11(56), ст. 42. URL: https://www.вестник-науки.рф/article/6563 (дата обращения: 25.10.2025).
Shut'ko N.A. Theoretical concepts of web application protection from vulnerabilities. Vestnik nauki [Herald of Science]. 2022, v. 4, no. 11(56), art 42. URL: https://www.вестник-науки.рф/article/6563 (accessed: 25.10.2025) (in Russian).

5. Беликов Г.В., Крылов И.Д., Селищев В.А. SQL-инъекция как способ обхода авторизации. Известия ТулГУ. Технические науки. 2021, № 12, с. 217-221. EDN: UODKZM.
Belikov G.V., Krylov I.D., Selishchev V.A. SQL injection as a way to bypass authorization. Izvestiya TulGU. Tekhnicheskie nauki [Izvestiya of Tula State University. Technical Sciences]. 2021, no. 12, pp. 217-221. EDN: UODKZM (in Russian).

6. Байраммырадов П., Довлетназаров Ш., Гарягдыева Г. Атаки на веб-приложения: уязвимости и способы защиты. Вестник науки. 2024, № 10(79), т. 3, с. 835-838. EDN: XGTRUK.
Bairammyradov P., Dovletnazarov Sh., Garyagdyeva G. Attacks on web applications: vulnerabilities and protection methods. Vestnik nauki [Herald of Science]. 2024, no. 10(79), v. 3, pp. 835-838. EDN: XGTRUK (in Russian).

7. Лапина М.А., Багаутдинова А.Р., Загнетов Н. Исследование уязвимостей безопасности веб-приложений. Auditorium. Электронный научный журнал Курского государственного университета. 2024, № 1(41),
с. 58-62. EDN: MIRGOV.
Lapina M.A., Bagautdinova A.R., Zagnetov N. Researching web application security vulnerabilities. Auditorium. Elektronnyi nauchnyi zhurnal Kurskogo gosudarstvennogo universiteta [Auditorium. Electronic Scientific Journal of Kursk State University]. 2024, no. 1(41), pp. 58-62. EDN: MIRGOV (in Russian).

8. Кинтонова А.Ж., Баенова Г.М., Урынбасарова А.Ж. Вопросы безопасности веб приложений. Colloquium-journal. 2020, № 13(65), c. 38-39. DOI: https://doi.org/10.24411/2520-6990-2020-11848. EDN: OJJTDK.
Kintonova A.Zh., Baenova G.M., Urynbasarova A.Zh. Security issues of web applications. Colloquium-journal. 2020, no. 13 (65), pp. 38-39. DOI: https://doi.org/10.24411/2520-6990-2020-11848. EDN: OJJTDK (in Russian).

9. Могучев Л.А. Обзор уязвимостей веб-приложений. Научный электронный журнал меридиан. 2020,
№ 2(36), с. 84-86. URL: https://meridian-journal.ru/site/article34c2/ (дата обращения: 25.10.2025). EDN: ERPUGY.
Moguchev L.A. Overview of web application vulnerabilities. Nauchnyy elektronnyy zhurnal Meridian. 2020, no. 2(36), pp. 84-86. URL: https://meridian-journal.ru/site/article34c2/ (accessed: 25.10.2025). EDN: ERPUGY (in Russian).

10. Наскидашвили К.А. Информационная безопасность. Виды угроз информационной безопасности. Вестник студенческого научного общества ГОУ ВПО "донецкий национальный университет". 2020, т. 1, № 12, с. 187-189. URL: https://science.donnu.ru/wp-content/uploads/2020/03/TOM-1-Estestvennye-nauki-2020-g..pdf (дата обращения: 25.10.2025). EDN: FYHGXP.
Naskidashvili K.A. Information security. Types of information security threats. Vestnik studencheskogo nauchnogo obshchestva GOU VPO "Donetskiy natsional'nyy universitet". 2020, v. 1, no. 12, pp. 187-189. URL: https://science.donnu.ru/wp-content/uploads/2020/03/TOM-1-Estestvennye-nauki-2020-g..pdf (accessed: 25.10.2025). EDN: FYHGXP (in Russian).

11. Журавлев Н.Е. Взаимодействие web-сервера и web-приложение через web-socket. Мировая наука. 2019, № 12(33), с. 143-147. URL: https://sciup.org/140264097 (дата обращения: 25.10.2025).
Zhuravlev N.E. Vzaimodeistvie web-servera i web-prilozhenie cherez web-socket [Interaction of a web server and a web application via web-socket]. Mirovaya nauka [World Science]. 2019, no. 12(33), pp. 143-147. URL: https://sciup.org/140264097 (accessed: 25.10.2025) (in Russian).

12. Россинская Е.Р., Рядовский И.А. Концепция вредоносных программ как способов совершения компьютерных преступлений: классификации и технологии противоправного использования. Всероссийский криминологический журнал. 2020, т. 14, № 5, с. 699-709. DOI: https://doi.org/10.17150/2500-4255.2020.14(5).699-709. EDN: HNMPIX.
Rossinskaya E.R., Ryadovsky I.A. The concept of malware as a means of committing computer crimes: classification and methods of illegal use. Vserossiiskii kriminologicheskii zhurnal [Russian Journal of Criminology]. 2020, v. 14, no. 5, pp. 699-709. DOI: https://doi.org/10.17150/2500-4255.2020.14(5).699-709. EDN: HNMPIX (in Russian).

13. Ertaul L., Kaur M., Gudise V. A. K. R. (2016). Implementation and Performance Analysis of PBKDF2, Bcrypt, Scrypt Algorithms. Proc. of the Int. Conf. on Wireless Networks (ICWN'16). CSREA Press. ISBN: 1-60132-440-5.

14. Горяинов Р.И., Левко И.В., Шуваев Н.А. Метод распределения информационных потоков в автоматизированных системах специального назначения. Известия Тульского государственного университета. Технические науки. 2022, № 10, с. 18-22. DOI: https://doi.org/10.24412/2071-6168-2022-10-18-22. EDN: CRJCTI.
Goryainov R.I., Levko I.V., Shuvaev N.A. Analysis of methods of flow distribution in information systems for special purposes. Izvestiya Tul'skogo gosudarstvennogo universiteta. Tekhnicheskie nauki [Izvestiya of Tula State University. Technical Sciences]. 2022, no. 10, pp. 18-22. DOI: https://doi.org/10.24412/2071-6168-2022-10-18-22. EDN: CRJCTI (in Russian).

15. Putra F.P.E., Ubaidi U., Hamzah A., Pramadi W. A., Nuraini A. (2024). Systematic Literature Review: Security Gap Detection On Websites Using Owasp Zap. Brilliance: Research of Artificial Intelligence, 4(1), 348–355. DOI: https://doi.org/10.47709/brilliance.v4i1.4227. EDN: PCCROW.