Δοκιμές παρείσδυσης Android εφαρμογών

Abstract

Στόχος της παρούσας διπλωματικής εργασίας είναι η παρουσίαση του τρόπου διεξαγωγής δοκιμών παρείσδυσης σε Android εφαρμογές(Android App Penetration Test) και των συχνότερων ευπαθειών και αδυναμιών που συναντώνται στις Android εφαρμογές. Για τη διεξαγωγή των δοκιμών και την εκτενή ανάλυση των ζητημάτων της εργασίας χρησιμοποιήθηκαν δύο εφαρμογές, οι οποίες περιείχαν επιτηδευμένα ευπάθειες. Στο 1ο κεφάλαιο θα παρουσιαστούν τα συστατικά στοιχεία μίας εφαρμογής Android , όπως επίσης και το μοντέλο ασφάλειας των λειτουργικών συστημάτων Android. Επίσης γίνεται αναφορά στις δέκα πιο κοινές ευπάθειες εφαρμογών κινητών συσκευών από το πρότυπο OWASP. Στο 2ο κεφάλαιο θα παρουσιαστούν ο τρόπος διεξαγωγής δοκιμών παρείσδυσης και τα εργαλεία που χρησιμοποιήθηκαν. Πιο συγκεκριμένα ελέγχουμε την επιφάνεια επίθεσης (attack surface) και πραγματοποιούμε δοκιμές σε κάθε ένα δομικό στοιχείο μίας Android εφαρμογής. Στα σενάρια που εξετάστηκαν περιλαμβάνονται παραδείγματα επιθέσεων όπως: έγχυση SQL αιτημάτων(SQL injections), μετακίνηση καταλόγου (Directory Traversal) και ενδιάμεσου (Man-In-TheMiddle). Στο 3ο κεφάλαιο με βάση τις ευπάθειες που εκμεταλλευτήκαμε, παρουσιάζονται εκτενώς τρόποι πρόληψης προκειμένου μία εφαρμογή να υλοποιηθεί με όσο το δυνατό ασφαλή τρόπο και το πως μπορούν να αποφευχθούν κοινές επιθέσεις. Τέλος στο 4ο κεφάλαιο θα συζητηθούν τα συμπεράσματα μέσω των αποτελεσμάτων που προέκυψαν και το πως μπορούν στο μέλλον να γίνουν ακόμα πιο αποτελεσματικές οι δοκιμές παρείσδυσης Android εφαρμογών.