Абдуллаєв, Ельмір Джалал оглиЕльмір Джалал оглиАбдуллаєвПархоменко, Іван Іванович2025-09-302025-09-302025Абдуллаєв Е. Д. Механізми виявлення вразливостей OWASP у вебзастосунках : пояснювальна записка кваліфікаційної роботи : 125 Кібербезпека / наук. кер. І. Пархоменко. Київ, 2025. 161 с.https://ir.library.knu.ua/handle/15071834/7870Пояснювальна записка кваліфікаційної роботи складається зі вступу, трьох розділів, загальних висновків, списку використаних джерел та додатків. Основний текст займає 60 сторінок, включає в себе зміст, вступ, три розділи дипломної роботи, висновки та список джерел. Крім того, робота містить 3 додатки із загальною кількістю сторінок 15. У пояснювальній записці дипломної роботи наведено 25 рисунків. Використано 40 джерел. Метою роботи є розробка та реалізація модуля "WebFlow", який забезпечує автоматизовану перевірку захищеності веб-додатків від вразливостей OWASP. Для досягнення зазначеної мети поставлено наступні завдання: • Опрацювання теоретичних основ захисту веб-додатків. • Аналіз сучасних методів виявлення вразливостей (DAST, SAST, IAST). • Розробка вимог до модуля "WebFlow". • Проектування структури модуля. • Розробка алгоритму роботи модуля. • Тестування модуля на тестових платформах (http://testphp.vulnweb.com/, http://localhost/bWAPP/). Об'єктом дослідження у цій роботі є веб-додатки, а предметом дослідження — засоби захисту від вразливостей OWASP у веб-додатках, зокрема SQL-ін’єкції, XSS, CSRF і Response Splitting. Методи дослідження: аналітичний метод; метод статистичного аналізу; порівняльний аналіз; синтез і узагальнення; експериментальне тестування. У роботі проведено розробку та реалізацію модуля "WebFlow", який забезпечує автоматизовану перевірку захищеності веб-додатків від вразливостей OWASP, таких як Injection, Broken Authentication і Security Misconfiguration. Запропоновано модуль "WebFlow", який реалізує комплексну перевірку безпеки веб-додатків, виявляючи вразливості та надаючи рекомендації для їх усунення. Побудовано потужний інструмент на Python із використанням Flask, який інтегрує сканери Wapiti, Nikto, SQLmap і аналітику на базі Gemini AI для глибокого аналізу веб-додатків, виявлення слабких місць (наприклад, SQLін’єкції у формах авторизації) та генерації рекомендацій. Розроблено список рекомендацій щодо використання комбінацій механізмів захисту, таких як параметризовані запити, Content Security Policy (CSP) і HSTS, для протидії поширеним загрозам. Практичною цінністю отриманих результатів є модуль "WebFlow", який може використовуватися розробниками та спеціалістами з безпеки для підвищення рівня захисту веб-додатків від вразливостей OWASP, зокрема у реальних проєктах. Напрямки подальшого дослідження включають інтеграцію SAST (наприклад, Bandit) та IAST для підвищення точності аналізу, розширення функціональності "WebFlow" (наприклад, підтримка API-атак) і впровадження модуля в хмарні середовища.ukOWASPвразливостівеб-додаткиперевірка безпекиSQL-ін’єкціїXSSCSRFResponse Splittingзахист данихGemini AIБакалаврська робота