Αξιολόγηση ευπαθειών δικτυακών εφαρμογών και εξυπηρετητών

Abstract

Η ασφάλεια των δικτυακών εφαρμογών (Web Applications) αποτελεί ένα πρόβλημα το οποίο αφορά τόσο τους οργανισμούς και τις επιχειρήσεις, όσο και τον απλό χρήστη, αφού η διείσδυση τους στην καθημερινότητα μας είναι πλέον αναμφίβολη. Έχει διαπιστωθεί, από πλήθος διεθνών οργανισμών καθώς και από τη βιβλιογραφία, ότι με την εξέλιξη των διαδικτυακών εφαρμογών, προκύπτουν και νέα ζητήματα ασφάλειας τα οποία μάλιστα πολλές φορές παρουσιάζουν υψηλό επίπεδο δυσκολίας. Με την τάση των εταιρειών να προσφέρουν με πολύ μεγάλη συχνότητα καινούριες εφαρμογές στην αγορά, ο χρόνος ελέγχου της ασφάλειας των εφαρμογών στον κύκλο ζωής τους μειώνεται δραματικά ή ακόμη χειρότερα εξαλείφεται πλήρως. Για το λόγο αυτό, παρόλο που τα συμβατικά συστήματα ασφάλειας αξιοποιούνται στην πλέον εξελιγμένη τους έκδοση, ο κάθε οργανισμός είναι τελικά ευάλωτος σε επιθέσεις μέσω των εφαρμογών ιστού. Οι πιθανές αδυναμίες που υπάρχουν σε αυτές μπορεί να επιτρέψουν σε επίδοξους εισβολείς να παραβιάσουν την ασφάλεια ολόκληρου του πληροφοριακού συστήματος ενός οργανισμού. Οι μηχανικοί λογισμικού αλλά και οι υπεύθυνοι ασφάλειας, θα πρέπει να είναι σε θέση να ανιχνεύουν και να διαβαθμίζουν τις αδυναμίες έτσι ώστε να μπορούν να προβαίνουν στα κατάλληλα διορθωτικά μέτρα. Η παρούσα διπλωματική εργασία, πραγματεύεται: α) τη μελέτη των κυριότερων ευπαθειών που μπορεί να εντοπιστούν σε δικτυακές εφαρμογές, β) την πειραματική εφαρμογή εργαλείων και μεθόδων για τον έλεγχο της ασφάλειας, και γ) την αποτύπωση προτάσεων - οδηγιών για την αυτόματη αξιολόγηση της ασφάλειας των εφαρμογών ιστού. Παρουσιάζονται αποτελέσματα ελέγχων που επιτρέπουν στους μηχανικούς ανάπτυξης δικτυακών εφαρμογών αλλά και στους υπεύθυνους ασφάλειας, να συλλέξουν πολύτιμες πληροφορίες και ενδείξεις σχετικά με τις αδυναμίες που εμφανίζονται σε τέτοιου είδους εφαρμογές. Η μεθοδολογία της έρευνας περιλαμβάνει μεταξύ άλλων την εξοικείωση με τις σχετικές έννοιες και τη μελέτη των οδηγιών και προτύπων ασφάλειας των εφαρμογών δικτύου, όπως έχουν οριστεί από αναγνωρισμένους οργανισμούς, όπως είναι ο OWASP και ο CERT. Συγκεκριμένα, μελετώντας τα προβλήματα και τις απειλές των δικτυακών εφαρμογών, έγινε προσπάθεια να εντοπιστούν και να αναδειχθούν οι αδυναμίες, καθώς και να παρασχεθούν μια σειρά κατευθυντήριων γραμμών (guidelines) που σκοπό έχουν τη μεθόδευση της διαδικασίας εντοπισμού αδυναμιών. Στόχος μεταξύ άλλων είναι η υποστήριξη των μηχανικών ανάπτυξης λογισμικού και των υπεύθυνων ασφάλειας στη χρήση τέτοιων εργαλείων και στην αναγνώριση της χρησιμότητας τους για την πραγματοποίηση συχνών έλεγχων των εφαρμογών.