Inżynieria zabezpieczeń aplikacji internetowych na podstawie analizy zagrożeń i rekomendacji OWASP

• Authors: Sołtysik-Piorunkiewicz Anna , Krysiak Monika

Title variants

EN

Security engineering of web applications based on threat analysis and OWASP recommendations

• Languages of publication: PL

Abstracts

PL

W artykule przedstawiono zagrożenia bezpieczeństwa aplikacji internetowych w projektowaniu i budowie systemów informatycznych w oparciu o wytyczne wynikające z inżynierii bezpieczeństwa oprogramowania. Zidentyfikowano różnorodność i zmienność zagrożeń zabezpieczeń aplikacji internetowych. Celem zaprezentowanych badań jest analiza trendu występowania zagrożeń aplikacji internetowych na podstawie danych fundacji OWASP opublikowanych w latach 2003-2017. W pierwszym punkcie artykułu przedstawiono rolę i zadania fundacji OWASP na tle wytycznych opracowanych przez organizacje zajmujące się bezpieczeństwem aplikacji internetowych. W drugim scharakteryzowano najczęstsze zagrożenia bezpieczeństwa aplikacji internetowych. W trzeciej części dokonano analizy występowania i porównano częstość zagrożeń aplikacji internetowych w latach 2003-2017, a w czwartej przedstawiono sposoby zabezpieczenia aplikacji internetowych oraz rekomendacje do uwzględnienia w projektowaniu i budowie systemów informatycznych z zastosowaniem aplikacji internetowych oraz podczas ich eksploatacji.

EN

The article presents the security threats of web applications in the design and development of information systems based on the guidelines resulting from software security engineering. The article identifies the variety and variability of security threats for web applications. The purpose of the presented research is to analyze the trend in the appearance of threats of web applications which are based on data collected by the OWASP Foundation published over the years 2003-2017. The first chapter of the article presents the role and tasks of the OWASP Foundation against guidelines developed by organizations dealing with the security of web applications. The second chapter describes the most common security threats of web applications. The third chapter analyses the occurrence and compares the frequency of threats to Internet applications in the years 2003-2017, and finally, the fourth chapter presents the ways of protecting web applications and recommendations to be taken into consideration in the design and development of IT systems using web applications and during their usage.

Keywords

PL

Bezpieczeństwo aplikacji internetowych; Bezpieczeństwo danych i informacji; Inżynieria zabezpieczeń; Open Web Application Security Project (OWASP); Zagrożenia internetowe

EN

Data and information security; Open Web Application Security Project (OWASP); Security engineering; Security of web applications; Threats and vulnerabilities

• Publisher: Uniwersytet Ekonomiczny w Katowicach
• Journal: Studia Ekonomiczne
• Year: 2019
• Volume: 390
• Pages: 91-104

Contributors

author

Sołtysik-Piorunkiewicz Anna

• Uniwersytet Ekonomiczny w Katowicach. Kolegium Informatyki i Komunikacji. Katedra Informatyki

author

Krysiak Monika

• Uniwersytet Ekonomiczny w Katowicach. Kolegium Informatyki i Komunikacji. Katedra Badań Operacyjnych

References

• About The Open Web Application Security Project, OWASP, https://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project (dostęp: 20.03.2019).
• About Us, ISACA, www.isaca.org/about-isaca/Pages/default.aspx (dostęp: 18.03.2019).
• Beal V., API – Application Program Interface, Webopedia, https://www.webopedia.com/TERM/A/API.html (dostęp: 30.03.2019).
• Clarke J. (2015), SQL Injection Attack and Defence, Elsevier, United States.
• Czym są certyfikaty SSL, Certum by Asseco, https://ssl.certum.pl/certyfikaty/certy,informacje_co_to_jest_certyfikat_ssl.xml (dostęp: 31.03.2019).
• Exploit, Dobry Słownik, https://dobryslownik.pl/slowo/exploit/221932/0/234770/ (dostęp: 30.03.2019).
• Hollosi A. (2013), Integracja PHP z Windows: optymalna wydajność i bezpieczeństwo, Helion, Gliwice.
• Konieczny P. (2009), 10 najpopularniejszych błędów w webaplikacjach, Niebezpiecznik, 4 grudnia, https://niebezpiecznik.pl/post/10-najpopularniejszych-bledow-w-webaplikacjach/ (dostęp: 19.03.2019).
• Krysiak M. (2018), Ochrona przed najczęstszymi zagrożeniami aplikacji internetowych na podstawie badań OWASP [w:] R. Kruzel, R. Balina, H. Tańska, S. Ejdys, M. Drewniak (red.), Ludzie nauki w kręgu interdyscyplinarnych badań, INTELLECT, Waleńczów, s. 160-168.
• Mirdha R. (2017), Learn Hacking on Web Application from Beginner to Advanced, India.
• OWASP 2007 Top 10 Presentation (2009), Bretthard, 21th October, http://bretthard.in/post/owasp-2007-top-10-presentation (dostęp: 20.03.2019).
• OWASP Top 10 – 2013. The Ten Most Critical Web Application Security Risks,OWASP, https://www.owasp.org/images/f/f8/OWASP_Top_10_-_2013.pdf (dostęp: 20.03.2019).
• OWASP Top 10 2017. The Ten Most Critical Web Application Security Risks, OWASP, https://www.owasp.org/images/b/b0/OWASP_Top_10_2017_RC2_Final.pdf (dostęp: 20.03.2019).
• OWASP Top Ten, OWASP, https://www.owasp.org/index.php/2004_Updates_OWASP_Top_Ten_Project (dostęp: 20.03.2019).
• Rozszerzenie pliku .INC, Download Astro, http://pl.downloadastro.com/Pliki%20Windows/inc/ (dostęp: 30.03.2019).
• Sejdak K. (2013), Co oferuje nam OWASP?, WebSecurity, 11 stycznia, http://websecurity.pl/co-oferuje-nam-owasp/ (dostęp: 18.03.2019).
• Serializacja i deserializacja (2017), Microsoft, 30 marca, https://msdn.microsoft.com/plpl/library/ms731073(v=vs.110).aspx (dostęp: 30.03.2019).
• Sołtysik-Piorunkiewicz A. (2018), Modele oceny użyteczności i akceptacji mobilnych systemów zarządzania wiedzą o zdrowiu, Uniwersytet Ekonomiczny, Katowice.
• Sołtysik-Piorunkiewicz A., Krysiak M. (2020), The Cyber Threats Analysis for Web Applications Security in Industry 4.0 [w:] M. Hernes et al. (eds.), Towards Industry 4.0 – Current Challenges in Information Systems, Springer, s. 127-141.
• Szpor G., red. (2015), Internet rzeczy. Bezpieczeństwo w Smart City, C.H.Beck, Warszawa.
• Top 10-2017 Top 10, OWASP, https://www.owasp.org/index.php/Top_10_2017-Top_10 (dostęp: 20.03.2019).
• Wichers D., OWASP Top 10 – 2010. The Top 10 Most Critical Web Application Security Risks, OWASP, https://www.owasp.org/images/6/67/OWASP_AppSec_Research_2010_OWASP_Top_10_by_Wichers.pdf (dostęp: 20.03.2019).

Identifiers

ISSN

2083-8611