Αξιολόγηση ευπαθειών και τρόποι αντιμετώπισης τους σε διαδικτυακές εφαρμογές και εξυπηρετητές

Abstract

Αντικείμενο της παρούσας μεταπτυχιακής διπλωματικής εργασίας αποτελεί η μελέτη και η διερεύνηση ευπαθειών και αδυναμιών εφαρμογών παγκόσμιου ιστού και η πειραματική εφαρμογή εναλλακτικών εργαλείων και μεθόδων ελέγχου ασφάλειας στα πλαίσια μιας μεθοδολογικής προσέγγισης για την αυτόματη ή μη αξιολόγηση της ασφάλειας των εφαρμογών ιστού. Σε αυτή την εργασία εξετάζονται και οι έλεγχοι οι οποίοι επιβάλλεται να γίνονται από τους υπεύθυνους ανάπτυξης των εφαρμογών και τους υπεύθυνους ασφαλείας των οργανισμών- επιχειρήσεων, που χρησιμοποιούν τέτοιου είδους εφαρμογές. Η μεθοδολογία της έρευνας περιλαμβάνει μεταξύ άλλων την εξοικείωση με τις σχετικές έννοιες και το κανονιστικό πλαίσιο, που έχει ήδη ορισθεί από αναγνωρισμένους οργανισμούς, και τη μελέτη των οδηγιών και προτύπων ασφάλειας εφαρμογών στο Web. Συγκεκριμένα μελετήθηκαν τα προβλήματα και οι απειλές ασφάλειας στο Web και έγινε προσπάθεια να αναδειχθούν οι αδυναμίες, καθώς και μια σειρά από μέτρα προφύλαξης. Παράλληλα διερευνήθηκαν και ταξινομήθηκαν σχετικές μέθοδοι, κριτήρια, εργαλεία αξιολόγησης και ελέγχου, που υπάρχουν και είναι είτε διαθέσιμα για ελεύθερη χρήση, είτε εμπορικά. Στα πλαίσια ενός σχεδίου μέτρησης πραγματοποιήθηκαν μετρήσεις ασφάλειας εφαρμογών ιστού με πειραματική εφαρμογή των εργαλείων και των μεθόδων αξιολόγησης. Συγκεκριμένα έγινε χρήση του εργαλείου ανοιχτού λογισμικού WebScarab, με το οποίο αυτοματοποιούνται τα στάδια ελέγχου ασφάλειας των εφαρμογών ιστού με τη μέθοδο της δοκιμής διείσδυσης. Σκοπός της εργασίας αυτής είναι η εξοικείωση με τις σχετικές έννοιες και το κανονιστικό πλαίσιο σε θέματα ασφάλειας, που έχει ήδη ορισθεί από αναγνωρισμένους οργανισμούς, όπως είναι ο CERT και ο OWASP (Open Web Application Security Project - ένας παγκόσμιος οργανισμός που έχει ως σκοπό την βελτίωση της ασφάλειας του λογισμικού εφαρμογών) κ.α., καθώς και η μελέτη των οδηγιών και προτύπων ασφάλειας για την ανάπτυξη και έλεγχο των εφαρμογών ιστού. Επίσης, είναι η διερεύνηση και χρησιμοποίηση διαφόρων εργαλείων, είτε είναι ελεύθερης χρήσης είτε εμπορικά, για τον έλεγχο γνωστών ευπαθειών των εφαρμογών ιστού και η αναγνώριση της χρησιμότητας τους από τους υπεύθυνους ασφάλειας, για το συνεχή έλεγχο των εφαρμογών. Με διάφορα τέτοια εργαλεία και κυρίως με τη χρήση του WebScarab το οποίο αποτελεί ένα εργαλείο ανοιχτού λογισμικού του OWASP, έγινε μια προσπάθεια συνολικής μέτρησης της ασφάλειας του ιστότοπο (website) του Τμήματος Ψηφιακών Συστημάτων του Πανεπιστημίου Πειραιώς (www.ds.unipi.gr) στα πλαίσια ενός οδηγού ελέγχου ασφάλειας εφαρμογών ιστού του OWASP (OWASP Testing Guide 2008 V3.0).