Αξιολόγηση ευπαθειών και έλεγχος τρωτότητας σε διακομιστές κι εφαρμογές παγκοσμίου ιστού = Vulnerability Assessment & Penetration Testing on Web Servers and Applications

Σταματίου, Βασίλειος (2018) Αξιολόγηση ευπαθειών και έλεγχος τρωτότητας σε διακομιστές κι εφαρμογές παγκοσμίου ιστού = Vulnerability Assessment & Penetration Testing on Web Servers and Applications. BSc thesis, ΤΕΙ Δυτικής Μακεδονίας.

[img] Text
EI23_2018.pdf
Restricted to Registered users only
Available under License Creative Commons Attribution Non-commercial No Derivatives.

Download (3MB)

Abstract

Αυτή η διατριβή αφορά τις δοκιμές διείσδυσης και τα πλεονεκτήματα που μπορούν να αντλήσουν οι εταιρείες από αυτή τη διαδικασία. Κάθε μέρα δημιουργούνται χιλιάδες κακόβουλα λογισμικά και διάφοροι επιτιθέμενοι προσπαθούν να εισέλθουν σε μη εξουσιοδοτημένα συστήματα. Διάφοροι οργανισμοί καταγράφουν αυτές τις επιθέσεις και δημιουργούν εργαλεία για να βοηθήσουν τις εταιρείες να αποτρέψουν νέες επιθέσεις στο μέλλον. Σε γενικές γραμμές, οι εταιρείες θα πρέπει να επιλέξουν την αξιολόγηση των ευπαθών συστημάτων τους, εάν θα θέλουν να είναι βέβαιοι ότι οι εφαρμογές τους είναι όσο ασφαλείς γίνεται από πιθανούς επιτιθέμενους. Εάν μια εταιρεία δεν διαθέτει έναν μόνιμο ελεγκτή ευπάθειας, μπορεί να προσλάβει μια εξωτερική ομάδα για τη διεξαγωγή δοκιμών διείσδυσης η οποία μετέπειτα αναφέρει τα ευρήματά τους, τα οποία συνήθως θα έχουν ποικίλα αποτελέσματα ανάλογα με τον τύπο μεθοδολογίας που θα έχουν ακολουθήσει. Υπάρχουν τρεις τύποι μεθοδολογίας (black, gray και white box) με το καθένα να έχει διαφορετικά πλεονεκτήματα και μειονεκτήματα μαζί με διαφορετικό κόστος. Στην παρούσα διατριβή θα εξεταστούν τρεις μελέτες περίπτωσης, από τρία είδη εφαρμογών παγκόσμιου ιστού στα οποία πραγματοποιήθηκαν δοκιμές ευπάθειας. Η πρώτη μελέτη περίπτωσης αφορά μια διαδικτυακή εφαρμογή ανοικτού κώδικα, η οποία ονομάζεται OSTicket και χρησιμοποιείται από τους περισσότερους χρήστες σε σχέση με τις υπόλοιπες δύο περιπτώσεις. Επιπλέον, ο κώδικάς της έχει τις μεγαλύτερες πιθανότητες να επανεξεταστεί, να δοκιμάζεται και να αναθεωρείται διαρκώς, με επακόλουθο να είναι αυτή που έχει και τα λιγότερα σφάλματα / τρωτά σημεία. Η δεύτερη μελέτη περίπτωσης αφορά μια διαδικτυακή εφαρμογή ανοικτού κώδικα για τη διαχείριση χρόνου εργασίας και αδειών του προσωπικού, η οποία ονομάζεται Jorani, αλλά χρησιμοποιείται από μικρότερο αριθμό χρηστών σε σχέση με την πρώτη περίπτωση. Τέλος, η τρίτη μελέτη περίπτωσης αφορά μια ιδιόκτητη διαδικτυακή εφαρμογή κλειστού κώδικα για τη διαχείριση ανθρώπινων πόρων. Αυτή η εφαρμογή δεν είχε εξεταστεί από έναν ειδικό ερευνητή ασφάλειας, κάτι που είχε ως αποτέλεσμα να παρουσιάσει τις περισσότερες ευπάθειες. Συνήθως το πλεονέκτημα που έχει ο ανοιχτός κώδικας είναι ότι περνά μέσα από πολλά μάτια τα οποία προσπαθούν να αποκαλύψουν ευπάθειες και να δοκιμάσουν την αντοχή του. Το μειονέκτημα του είναι όμως ότι οι άνθρωποι μπορούν να το δουν και έτσι να το αντιγράψουν, αν το θέλουν. Οι εφαρμογές κλειστού κώδικα εξαλείφουν αυτό το μειονέκτημα, αλλά για να ασφαλιστούν σωστά, πρέπει να γίνονται αξιολογήσεις τρωτότητας σε κάθε σημείο της ανάπτυξής του και σε ετήσιες δοκιμές διείσδυσης για να διασφαλιστεί ότι θα παραμείνουν ασφαλείς. Εάν μια εταιρεία που αναπτύσσει λογισμικό κλειστού τύπου παραλείπει κάποιο από αυτά τα βήματα, τότε ο κίνδυνος για έναν κακόβουλο εισβολέα να βρει κάποια ευπάθεια να εκμεταλλευτεί είναι πολύ μεγαλύτερος.

Item Type: Thesis (BSc)
Corporate Creators: Νικολάου Σπυρίδων
Uncontrolled Keywords: Δοκιμές διείσδυσης, Εφαρμογές ιστού ανοιχτής προέλευσης, Ιδιόκτητη εφαρμογή ιστού
Subjects: Α > Ασφάλεια διαδικτύου
Α > Ασφάλεια δικτύου
Α > Ασφάλεια ηλεκτρονικών υπολογιστών
Divisions: Σχολή Τεχνολογικών Εφαρμογών > Τμήμα Πληροφορικής και Τεχνολογίας Υπολογιστών (Καστοριά)
Depositing User: Προσωπικό Βιβλιοθήκης
Date Deposited: 31 Oct 2018 07:29
Last Modified: 31 Oct 2018 07:29
URI: http://anaktisis.uowm.gr/id/eprint/9794

Ενέργειες (απαιτείται σύνδεση)

View Item View Item

Created by  Elidoc

To Top