Web application security (HTTP security)

Abstract

Η Ασφάλεια των ηλεκτρονικών υπολογιστών και των εφαρμογών του Διαδικτύου είναι ένα θέμα που ακούμε όλο και περισσότερο τον τελευταίο καιρό. Η παραπάνω συζήτηση φαντάζει όλο και πιο λογική άμα αναλογιστούμε ότι το ηλεκτρονικό έγκλημα ή όπως συνηθίζεται να λέγεται κυβερνο-έγκλημα έχει σημειώσει τρομακτική έξαρση σε παγκόσμια κλίμακα. Οι εκτιμήσεις που έχουμε από την Norton είναι ότι παγκόσμια πάνω από δεκαοχτώ ενήλικες πέφτουν θύματα ηλεκτρονικού εγκλήματος κάθε δευτερόλεπτο ενώ παγκόσμια το 2012 υπήρχαν απώλειες περίπου $110.000.000.000.Αυτές οι εκτιμήσεις και τα νούμερα άμα αναλογιστεί κανένας την όλο και μεγαλύτερη διείσδυση στον παγκόσμιο ιστό(Internet) αλλά και την τάση του εμπορίου και των συναλλαγών να παίρνουν ηλεκτρονική μορφή, παρουσιάζουν μια συνεχόμενη άνοδο. Μια λανθασμένη άποψη που επικρατεί είναι ότι ο τομέας της Ασφάλειας είναι ότι αφενός αφορά μόνο λίγους ειδικούς αλλά και αφετέρου ότι είναι κάτι που κάποιος χρειάζεται να ασχοληθεί μία φορά μόνο. Η αλήθεια όμως δεν είναι αυτή, διότι ούτε λίγες μετατροπές στον κώδικα ενός προγράμματος δεν εξασφαλίζει για πάντα την ασφάλεια καθώς μέρα με την μέρα οι επιτιθέμενοι βρίσκουν όλο και πιο έξυπνους και στοχευόμενους τρόπους επίθεσης και επίσης το ζήτημα της ασφάλειας είναι κάτι που αφορά από τους προγραμματιστές μέχρι τους χρήστες και τους οργανισμούς και πρέπει ο καθένας από την μεριά του να ξέρει τι μπορεί να κάνει για να προφυλαχτεί. Αυτή λοιπόν η εργασία έχει ως στόχο την παρουσίαση των συνηθέστερων και πιο επικίνδυνων επιθέσεων που στοχεύουν τις διαδικτυακές εφαρμογές (web applications) από κακόβουλους χρήστες αλλά και τις αντίστοιχες καλές πρακτικές (αντίμετρα) που μπορούμε να λάβουμε με σκοπό την αποτελεσματικότερη αντιμετώπιση τους. Αρχικά θα αποσαφηνίσουμε βασικές έννοιες που σχετίζονται με τις διαδικτυακές εφαρμογές όπως και τα πρωτόκολλα που τις περικλείουν και έπειτα θα αναλύσουμε ποιες είναι οι κυριότερες ευπάθειες που συναντάμε στις διαδικτυακές εφαρμογές, πως ένας κακόβουλος χρήστης μπορεί να τις εκμεταλλευτεί και ποιο είναι το χρέος των σχεδιαστών αυτών των εφαρμογών αλλά και των απλών χρηστών για την αποφυγή ζημιάς είτε από την μεριά αυτού που παρέχει την εφαρμογή είτε από την μεριά του ατόμου που την χρησιμοποιεί. Οι επιθέσεις που θα αναλύσουμε στηρίζονται στην λίστα του OWASP με τις κύριες ευπάθειες των διαδικτυακών εφαρμογών. Ο OWASP (Open Web Application Security Project) είναι μία πρωτοβουλία που έχει σαν στόχο την αντιμετώπιση τρωτών σημείων στα λογισμικά των εφαρμογών. Είναι ένας μη κερδοσκοπικός οργανισμός ο οποίος ακολουθεί την ιδεολογία του ανοιχτού/ελεύθερου κώδικα(open source). Η εργασία αυτή έγινε με κατευθυντήριες σημειώσεις και διαλέξεις του Jim Manico ο οποίος είναι ενεργό μέλος του OWASP από το 2008, διάφορα επιστημονικά συγγράμματα όπως και άρθρα πάνω στο αντικείμενο της Ασφάλειας.