3 research outputs found

    АНАЛІЗ БЕЗПЕКИ ПРОТОКОЛУ OAUTH

    Get PDF
    Introduction. In recent years, the use of authorisation and authentication protocols in various services has been growing rapidly, which leads to increased interest in such protocols and the protection guarantees they can provide. The work is devoted to an overview of the security of the OAuth protocol, which is currently one of the most widely used authentication mechanisms, allowing users to grant access to their protected resources without providing direct access to their passwords, and is the basis of the OpenID Connect SSO standard. It has become the standard for many web applications and APIs that provide access to restricted resources. Recently, the number of abuses during the use of this protocol and various cyber-attacks on it has been rapidly increasing, which poses critical problems for users who use it. Such attacks are primarily carried out through existing security issues of this protocol.This study aims to develop recommendations for the implementation and search for vulnerabilities by the method of penetration testing of Web services in the context of the Oauth 2.0 protocol. The paper considers the basic aspects and mechanisms of using this protocol. Its main known vulnerabilities are analysed in detail. In particular, it is investigated that as a result of insufficient URI redirection validation, client identification or authentication may be violated, allowing an attacker to obtain an authorization code. The scenarios of possible attacks on the provision of authorization code and  implicit grant, and the threat of leakage of state codes through client or authorisation server referrer headers, which are also often used by attackers to disrupt the OAuth protocol, are described. It is also demonstrated that the OAuth protocolcan compromise the resource server. The vulnerability assessment was conducted using the CVSS calculator, which showed certain serious security issues with the OAuth protocol.Conclusions. So, although the OAuth protocol allows convenient and secure authorisation and authentication in various web applications and services, it has its potential security threats that must be considered when using it. It is important to maintain high-security standards and ensure proper server configuration to protect user data from possible threats. Since the research in the paper was generally aimed at the OAuth protocol itself, not its implementations, clear general recommendations were provided, compliance with which will improve the security of user authentication and authentication on the Internet, as well as ensure information protection at an appropriate level.Постановка проблеми: В останні роки стрімко зростає використання протоколів авторизації та автентифікації в різних сервісах, що зумовлює підвищений інтерес до таких протоколів і до гарантій захисту, які вони можуть надавати. Робота присвячена огляду безпеки протоколу OAuth, який на сьогодні є одним з найбільш поширених механізмів авторизації, дозволяє користувачам надавати доступ до своїх захищених ресурсів без надання прямого доступу до свого пароля та лежить в основі стандарту SSO OpenID Connect. Він став стандартом для багатьох веб-додатків та API, які забезпечують доступ до обмежених ресурсів. Останнім часом стрімко зростає кількість зловживань під час використання цього протоколу, а також різноманітні кібератаки на нього, що створює критичні проблеми для його користувачів. В першу чергу такі атаки здійснюються через проблеми безпеки цього протоколу.Метою дослідження є розроблення рекомендацій з реалізації та пошуку вразливостей методом тестування на проникнення Web-сервісів в контексті протоколу Oauth 2.0.Результати дослідження. В роботі розглянуті базові аспекти та механізми використання цього протоколу. Детально проаналізовані його основні відомі вразливості. Зокрема досліджено, що в результаті недостатньої перевірки URI перенаправлення може бути порушена ідентифікація або автентифікація клієнта, що дозволить зловмиснику отримати код авторизації. Описано сценарії можливих атак на надання коду авторизації та на неявний грант, загрозу витоку кодів станів через сторони клієнта або сервера авторизації через Referrer-заголовки, які також часто використовуються зловмисниками для порушення роботи протоколу OAuth. Також, продемонстровано, що черезпротокол OAuth може бути скомпрометований сервер ресурсів. Проведено оцінювання вразливостей з використанням CVSS-калькулятора, яке показало певні серйозні моменти з безпекою протоколу OAuth.Висновки. Отже, хоча протокол OAuth дозволяє зручну та безпечну авторизацію та автентифікацію в різних веб-додатках та сервісах, він має свої потенційні загрози безпеці, які необхідно враховувати при його використанні. Важливо дотримуватися високих стандартів безпеки та забезпечувати належну конфігурацію сервера, щоб захистити дані користувачів від можливих загроз. Оскільки дослідження в роботі були спрямовані загалом на сам протокол OAuth, а не на його окремі реалізації, то були надані загальні чіткі рекомендації, дотримання яких дасть змогу покращити безпеку авторизації та автентифікації користувачів в Інтернет, а також забезпечити захист інформації на належному рівні

    A Review of Big Data Trends and Challenges in Healthcare

    Get PDF
    The healthcare sector produces an enormous amount of complicated data from several sources, such as health monitoring systems, medical devices, and electronic health records. Big data analytics may improve healthcare by enabling more effective decision-making, improving patient outcomes, and reducing costs. To improve the operational efficiency of healthcare organizations, scientific studies must search for the standardization and integration of data analysis equipment and methods. This systematic literature review aims to provide current insights on the topic by analyzing a total of 60 relevant articles published between 2017 and 2023. The review explores the challenges and opportunities in using big data in healthcare, including data security, privacy, data quality, interoperability, and ethical considerations. The article also explores big data analytics' potential uses in healthcare, such as personalized treatment, disease prediction and prevention, and population health management. It provides significant insights for healthcare providers, researchers, and practitioners to make evidence-based decisions, as well as underlines the need for more research in this area to fully realize the promise of big data in healthcare

    Integração da cadeia de suprimentos: caso das empresas de um polo industrial no Brasil

    Get PDF
    Um fator de competitividade das empresas atualmente é a capacidade que elas têm para integrar sua cadeia de suprimentos de forma que esta atue como uma única empresa. A tecnologia da informação é uma poderosa ferramenta de apoio a essa estratégia, pois pode prover a informação necessária para que o processo de comunicação não seja um entrave a essa estratégia, além de permitir a automatização do processo, economizando tempo e, consequentemente, reduzindo lead times. O presente trabalho tem como objetivo verificar o grau de integração da cadeia de suprimentos das empresas do Polo Industrial de Manaus (PIM). Como instrumento de investigação usou-se a métrica Performance Benefits of Supply Chain Logistical Integration, no qual verificar-se-ão seis visões de integração da cadeia de suprimentos: integração com clientes, integração interna, integração com fornecedores de materiais e serviços, integração de tecnologia e planejamento, integração de medição, integração de relacionamento. A pesquisa foi feita por meio de um questionário enviado para todas as empresas do PIM, com questões a respeito do processo de integração da cadeia de suprimentos. O resultado permitiu concluir que as empresas pesquisadas usam tecnologias atualizadas e que a cadeia de suprimentos das empresas do Polo Industrial de Manaus recebeu um total de 65% de respostas positivas indicando por esse critério que a cadeia de suprimentos é integrada.A factor of competitiveness of companies today is the ability they have to integrate their supply chain in a way that it acts as a single company. Information technology is a powerful tool to support this strategy, as it can provide the necessary information so that the communication process is not an obstacle to this strategy, in addition to allowing the automation of the process, saving time and, consequently, reducing lead times. The present work aims to verify the degree of integration of the supply chain of the companies of the Industrial Pole of Manaus (PIM). As a research instrument, the Performance Benefits of Supply Chain Logistical Integration metric was used, in which six visions of supply chain integration will be verified: integration with customers, internal integration, integration with suppliers of materials and services, integration of technology and planning, measurement integration, relationship integration. The survey was carried out through a questionnaire sent to all PIM companies, with questions about the supply chain integration process. The result allowed us to conclude that the surveyed companies use up-to-date technologies and that the supply chain of companies in the Industrial Pole of Manaus received a total of 65% of positive responses, indicating by this criterion that the supply chain is integrated.Un facteur de compétitivité des entreprises aujourd'hui est la capacité qu'elles ont à intégrer leur chaîne d'approvisionnement de manière à ce qu'elle agisse comme une seule entreprise. La technologie de l'information est un outil puissant pour soutenir cette stratégie, car elle peut fournir les informations nécessaires pour que le processus de communication ne soit pas un obstacle à cette stratégie, en plus de permettre l'automatisation du processus, de gagner du temps et, par conséquent, de réduire le plomb. fois. Le présent travail vise à vérifier le degré d'intégration de la chaîne d'approvisionnement des entreprises du Pôle Industriel de Manaus (PIM). En tant qu'instrument de recherche, la métrique Performance Benefits of Supply Chain Logistical Integration a été utilisée, dans laquelle six visions de l'intégration de la chaîne d'approvisionnement seront vérifiées : intégration avec les clients, intégration interne, intégration avec les fournisseurs de matériaux et de services, intégration de la technologie et de la planification, intégration des mesures, intégration des relations. L'enquête a été réalisée au moyen d'un questionnaire envoyé à toutes les entreprises PIM, avec des questions sur le processus d'intégration de la chaîne d'approvisionnement. Le résultat nous a permis de conclure que les entreprises interrogées utilisent des technologies de pointe et que la chaîne d'approvisionnement des entreprises du Pôle Industriel de Manaus a reçu un total de 65% de réponses positives, indiquant par ce critère que la chaîne d'approvisionnement est intégrée
    corecore