МЕТОДОЛОГИЯ ТЕСТИРОВАНИЯ БЕЗОПАСНОСТИ ВЕБ-ПРИЛОЖЕНИЙ НА DJANGO С АКЦЕНТОМ НА ВЫЯВЛЕНИЕ УЯЗВИМОСТЕЙ БИЗНЕС-ЛОГИКИ

Авторы

  • Абдималик Омаралиев Ошский государственный университет
  • Самат Карабаев Ошский государственный университет
  • Гулбайра Омаралиева Ошский государственный университет
  • Данг Вэньхао Ошский государственный университет

DOI:

https://doi.org/10.52754/16948610_2025_4_14%20

Ключевые слова:

безопасность веб-приложений, уязвимости бизнес-логики, объектный уровень разрешений, транзакции и целостность данных, CI/CD для безопасности, DAST/IAST

Аннотация

Статья предлагает практико-ориентированную методологию тестирования безопасности веб-приложений на Django с особым акцентом на уязвимости бизнес-логики – дефекты, которые возникают не из-за низкоуровневых ошибок реализации, а вследствие нарушений инвариантов предметной области и некорректных рабочих процессов. Формализуется понятие инвариантов доменной логики и показывается, как превращать их в проверяемые «оракулы» для тестов. Предлагается связный процесс: от построения модели угроз и сценариев злоупотребления для конкретного Django-проекта до проектирования тестов на основе состояний и свойств, включая property-based и метаморфическое тестирование. Показано, как использовать инфраструктуру Django (middleware, сигналы, транзакции, permissions, URLConf) для целенаправленной инструментализации, логирования и контроля инвариантов, а также как комбинировать юнит-, интеграционные и API-тесты с динамическим и интерактивным тестированием (DAST/IAST). Вводятся метрики покрытия бизнес-логики и даются шаблоны автоматизации в CI/CD. В качестве ориентировочного кейса рассматривается процесс оформления заказа в интернет-магазине: управление скидками, авторизация на уровне объектов, гонки при списании остатков и обход многошаговых проверок. Методология сопровождается местами для иллюстраций, таблиц и фрагментов кода, что делает материал пригодным для внедрения в реальные команды разработки.

Библиографические ссылки

Аркабаев, Н., Алымова, З. (2024). Разработка WEB серверных приложений на базе .net core в примере интернет-магазина. Вестник Ошского государственного университета, (1), 142–154. https://doi.org/10.52754/16948610_2024_1_13

Аркабаев, Н., Арапбаев, Б., Ражапов, С. (2025). Трансформация финансового анализа с помощью языка программирования python: от рутинных вычислений к стратегическим решениям. Вестник Ошского государственного университета, (2), 122–132. https://doi.org/10.52754/16948610_2025_2_11

Карабаев, С.Э. (2025). Django vs ASP.Net Core: сравнительный анализ архитектурных паттернов для масштабируемых enterprise-решений. Research and Implementation, 3(3), 68–77. https://zenodo.org/records/15019033

Kirill. (2025). Безопасность Django-приложений: главные угрозы и защита на практике. VC.ru. https://vc.ru/dev/2124507-bezopasnost-django-prilozheniy-ugrozy-zashchita

Омаралиева, Г., Абдумиталип уулу, К., Жунусова, Г., Санжар кызы, А. (2025). Сравнительный анализ мотивации к изучению программирования у студентов направлений ИВТ и ИСТ института МФТИТ ОШГУ. Вестник Ошского государственного университета, (2), 81–93. https://doi.org/10.52754/16948610_2025_2_8

Орликов, В. (2025). «Казнить нельзя помиловать»: уязвимости из-за ошибок в бизнес-логике. Analyst Days. https://analystdays.ru/ru/talk/117628

Путято, М.М., Макарян, А.С., Лещенко, В.В., Немчинова, В.О. (2022). Анализ типовых уязвимостей при построении веб-приложений. Информатика и системы управления, (3), 306–315.

Тажикбаева, С.Т., Айтбай кызы, Д., Тагаева, Г.Т. (2025). Python программалоо тилинин мүмкүнчүлүктөрүн окутуу процессинде колдонуу. In Билим берүүдөгү математика, физика жана маалыматтык технологиялардын актуалдуу маселелери (pp. 144–149).

Hypothesis. (n.d.). Hypothesis – property-based testing for Python. https://hypothesis.works/

Kim, I.L., Zheng, Y., Park, H., Wang, W., You, W., Aafer, Y., Zhang, X. (2020). Finding client-side business flow tampering vulnerabilities. In Proceedings of the 42nd International Conference on Software Engineering (ICSE ’20) (pp. 1–12).

Sane, P. (2020). Is the OWASP Top 10 list comprehensive enough for writing secure code? arXiv. https://arxiv.org/abs/2002.11269

Tunalı, A., Kepir, Y. (2025). Business logic vulnerabilities in the digital era: A detection framework using artificial intelligence. Information, 16(7), Article 585. https://doi.org/10.3390/info16070585

Загрузки

Опубликован

29-12-2025

Как цитировать

Омаралиев, А., Карабаев, С., Омаралиева, Г., & Вэньхао, Д. (2025). МЕТОДОЛОГИЯ ТЕСТИРОВАНИЯ БЕЗОПАСНОСТИ ВЕБ-ПРИЛОЖЕНИЙ НА DJANGO С АКЦЕНТОМ НА ВЫЯВЛЕНИЕ УЯЗВИМОСТЕЙ БИЗНЕС-ЛОГИКИ. Вестник Ошского государственного университета, (4), 199–211. https://doi.org/10.52754/16948610_2025_4_14

Выпуск

№ 4 (2025): Вестник Ошского государственного университета

Раздел

ИНФОРМАТИКА

Лицензия

Copyright (c) 2025 Абдималик Омаралиев, Самат Карабаев, Гулбайра Омаралиева, Данг Вэньхао

Лицензия Creative Commons

Это произведение доступно по лицензии Creative Commons «Attribution-NonCommercial» («Атрибуция — Некоммерческое использование») 4.0 Всемирная.

Наиболее читаемые статьи этого автора (авторов)