Análisis de vulnerabilidades con SQLMAP aplicada a entornos APEX 5

Las bases de datos son usualmente los principales objetivos de un ataque, específicamente por la información que en ella reside, ya que, de acuerdo con Druker, la información es poder. En este trabajo se realizan las pruebas de vulnerabilidad de la base de datos de un software ERP desarrollado en APEX 5. Para ello, se utilizan herramientas FOSS de prueba y análisis de vulnerabilidades de bases de datos, identificando que las sesiones que utiliza ERP basada en Oracle APEX son realizadas de manera aleatoria y que, además, son nuevamente generadas en determinados momentos. Se concluye que, con las pruebas aplicadas y las actualizaciones de SQLMAP a la fecha del experimento, no se ha conseguido vulnerar el software ERP con técnicas de inyección SQL.//Databases are usually the main targets of an attack, specifically for the information that they store, since, according to Druker, information is power. In this work vulnerability tests are performed of the database of an ERP software developed in APEX 5. For this purpose, FOSS tools are used to test and analyze vulnerabilities of databases, identifying that sessions used by ERP based on Oracle APEX are carried out randomly, and besides are generated again at particular times. It is therefore concluded that, with the tests applied and the updates of SQLMAP to the date of the experiment, it has not been possible to vulnerate the ERP software with SQL injection techniques

Програмний додаток для сегментації сітківки

Магістерська дисертація за темою «Програмний додаток для сегментації сітківки» виконана студентом кафедри біомедичної кібернетики ФБМІ Гричанюком Іваном Олеговичем зі спеціальності 122 «Комп’ютерні науки» за освітньо-професійною програмою «Комп’ютерні технології в біології та медицині» та складається зі: вступу; 4 розділів (Огляд літературних джерел, Теоретична частина, Аналітична частина, Практична частина), розділу зі стартап проєкту, висновків до кожного з цих розділів; загальних висновків; списку використаних джерел, який налічує джерело та додатки. Загальний обсяг роботи 101 сторінка. Актуальність теми. Актуальність роботи полягає у створення якісного та захищеного додатку для сегментації, що може слугувати як зручний допоміжний засіб для лікаря у діагностування, попередженні та виявлені проблем із сітківкою ока. Мета дослідження. створити точний та зручний для розуміння лікарем додаток для сегментації кровоносних сітківки ока, на основі сучасних досліджень в області глибокого навчання. Об’єкт дослідження. Системи сегментації судин сітківки. Предмет дослідження. Використання систем сегментації медичних зображень для створення системи, що покращить діагностування. Методи дослідження. алгоритми комп'ютерного зору та глибокого навчання, взято за основу сучасні дослідження у сферах сегментації медичних даних: такі як мережа UNet, методи оптимізації та підбору параметрів.Master's dissertation on "Retinal segmentation software application" was completed by a student of the Department of Biomedical Cybernetics FBMI Ivan Hrychaniuk in the specialty 122 "Computer Science" in the educational-professional program "Computer Technology in Biology and Medicine" and consists of: introduction; 4 sections (Review of literature sources, Theoretical part, Analytical part, Practical part), a section on the startup project, conclusions to each of these sections; general conclusions; a list of used sources, which includes the source and applications. The total amount of work of the 101 pages. Actuality of theme. The urgency of the work is to create a high-quality and secure application for segmentation, which can serve as a convenient tool for the doctor in diagnosing, preventing and detecting retinal problems The aim of the study. to create an accurate and easy-to-understand application for segmentation of the blood retina, based on current research in the field of deep learning. Object of study. Retinal vascular segmentation systems. Subject of study. Use medical image segmentation systems to create a system that will improve diagnosis. Research methods. algorithms of computer vision and deep learning, based on modern research in the field of medical data segmentation: such as the UNet network, methods of optimization and selection of parameters. The practical significance of the results obtained. The algorithm created in this work and the implemented software product has the ability to significantly improve the level of diagnosis of retinal diseases

Метод захисту систем управління базами даних від атаки SQL-ін’єкції на ідентифікатор

The article reviews SQL injection and SQL identifier injection attacks in database management systems, identifies their nature, the threats they pose, and the types of these attacks. A new method of protecting database management systems from SQL identifier injection attacks is also covered. Proposed solution are functions that can be added to the prepared API statements: setColumnName: uses the column name and its index as arguments and setTableName: uses the table name and its index as arguments. This method allows you to prepare operators to fill placeholders with table and column names, prevents SQL-IDIA, does not skip schema information, has no restrictions on input-based sanitation approaches. These two features help prevent database management systems from leaking confidential database information by performing a default operation when the input column or table name does not exist in the database. For example, if a column name is used in a particular function and the column name is invalid, the database management system will sort the results by the first column of the table. Only the table and column names in our advanced API were examined, as GitHub analysis showed that 96% of concatenated IDs were table and column names. In all experiments, the new setColumnName feature surpassed the implementation of dynamic whitelisting. In two experiments, the implementation of a static whitelist slightly exceeded the name function of the new set of columns. Although this special approach has little performance advantage, whitelisting approaches can add non-trivial complexity to program code and lead to erroneous results. The new setColumnName feature has successfully prevented all these attacks. Filling placeholders with column names is practical and effective compared to existing special approaches, does not create additional costs compared to the existing functions of the trained operator, and is effective against SQL identifier injection attack.У статті проведено огляд атак SQL-ін’єкції та SQL-ін'єкції на ідентифікатор у системах управління базами даних, визначено їх природу, загрози, які вони несуть, а також види цих атак. Також висвітлено новий метод захисту систем управління базами даних від атаки SQL-ін’єкції на ідентифікатор. Запропоноване рішення — функції, які можна додати до підготовлених операторів API: setColumnName: використовує назву стовпця та його індекс як аргументи та setTableName: використовує назву таблиці та його індекс як аргументи. Цей метод дозволяє підготувати оператори для заповнення плейсхолдерів іменами таблиць і стовпців, запобігає SQL-IDIA, не пропускає інформацію про схему, не має обмежень, які мають підходи, засновані на санітації вводу. Ці дві функції допомагають запобіганню системам управлінням бази даних від витоку конфіденційної інформації про базу даних, виконуючи операцію за замовчуванням, коли ім’я вхідного стовпця або таблиці не існує в базі даних. Наприклад, якщо ім’я стовпця використовується в певній функції і ім’я стовпця є недійсним, система управлінням бази даних упорядкуватиме результати за першим стовпцем таблиці. Ми розглядали лише назви таблиць і стовпців у нашому розширеному API, оскільки аналіз GitHub показав, що 96% конкатенованих ідентифікаторів були іменами таблиць і стовпців. У всіх експериментах нова функція setColumnName перевершила реалізацію динамічного білого списку. У двох експериментах реалізація статичного білого списку дещо перевершила функцію імені нового набору стовпців. Хоча цей спеціальний підхід має невелику перевагу в продуктивності, підходи до створення білого списку можуть внести нетривіальні складності в код програми та призвести до помилкових результатів. Нова функція setColumnName успішно запобігла всім цим атакам. Заповнення плейсхолдерів іменами стовпців є практичним та ефективним у порівнянні з існуючими спеціальними підходами, не створює додаткових витрат у порівнянні з існуючими функціями підготовленого оператора, і ефективний проти атак SQL-ін'єкції на ідентифікатор

Authentication and SQL-Injection Prevention Techniques in Web Applications

This dissertation addresses the top two “most critical web-application security risks” by combining two high-level contributions. The first high-level contribution introduces and evaluates collaborative authentication, or coauthentication, a single-factor technique in which multiple registered devices work together to authenticate a user. Coauthentication provides security benefits similar to those of multi-factor techniques, such as mitigating theft of any one authentication secret, without some of the inconveniences of multi-factor techniques, such as having to enter passwords or biometrics. Coauthentication provides additional security benefits, including: preventing phishing, replay, and man-in-the-middle attacks; basing authentications on high-entropy secrets that can be generated and updated automatically; and availability protections against, for example, device misplacement and denial-of-service attacks. Coauthentication is amenable to many applications, including m-out-of-n, continuous, group, shared-device, and anonymous authentications. The principal security properties of coauthentication have been formally verified in ProVerif, and implementations have performed efficiently compared to password-based authentication. The second high-level contribution defines a class of SQL-injection attacks that are based on injecting identifiers, such as table and column names, into SQL statements. An automated analysis of GitHub shows that 15.7% of 120,412 posted Java source files contain code vulnerable to SQL-Identifier Injection Attacks (SQL-IDIAs). We have manually verified that some of the 18,939 Java files identified during the automated analysis are indeed vulnerable to SQL-IDIAs, including deployed Electronic Medical Record software for which SQL-IDIAs enable discovery of confidential patient information. Although prepared statements are the standard defense against SQL injection attacks, existing prepared-statement APIs do not protect against SQL-IDIAs. This dissertation therefore proposes and evaluates an extended prepared-statement API to protect against SQL-IDIAs