Δημιουργία αυτοματοποιημένου εργαλείου για ελέγχους ασφάλειας σε διαδικτυακές εφαρμογές

Abstract

Η διπλωματική εργασία με τίτλο «Δημιουργία Αυτοματοποιημένου Εργαλείου για Ελέγχους Ασφάλειας σε Διαδικτυακές Εφαρμογές» είναι μια πρακτική απεικόνιση για το πως μπορούν να αυτοματοποιηθούν χρονοβόρες διαδικασίες που μέχρι πρότινος πραγματοποιούσε ένας tester χειροκίνητα. Βασικός στόχος του εργαλείου αυτού, που θα το καθιστά διαφορετικό από τα υπόλοιπα εργαλεία αυτού του τύπου, είναι ο τρόπος με τον οποίο σχεδιάζεται ώστε να παρέχει ευελιξία, φορητότητα και ταχύτητα στους testers. Για το λόγο αυτό επιλέχθηκε μια δυναμική γλώσσα διαδικτυακού προγραμματισμού, η PHP. Ουσιαστικά, το εργαλείο αυτό θα μπορεί να ενεργοποιείται μέσω ενός web browser, ενώ το περιβάλλον εκτέλεσης του κώδικα της εφαρμογής θα είναι ένας web server ο οποίος θα αναλαμβάνει να εκτελεί τις διαδικασίες που θα ζητηθούν από μεριάς του client μέσω ενός εύχρηστου WUI (Web User Interface). Με αυτόν τον τρόπο, όλος ο φόρτος εργασίας των ελέγχων ασφάλειας μεταφέρεται στον web server και έτσι ακόμα και ένας υπολογιστής χαμηλών υπολογιστικών δυνατοτήτων θα μπορεί να εκτελεί τους ελέγχους με μεγάλη ευκολία. Στόχος του εργαλείου αυτού είναι να συγκεντρώσει όσες περισσότερες επιθέσεις μπορούν να πραγματοποιηθούν σε web applications και όχι να επικεντρωθεί σε μια συγκεκριμένη επίθεση. Οι έλεγχοι ασφάλειας που καλύπτονται στην παρούσα εργασία είναι Information Disclosure, Cross Site Scripting και SQL Injection.