Μελέτη κενών ασφαλείας LAMP συστημάτων

Abstract

Οι διαδικτυακές εφαρμογές συνήθως εκπροσωπούν ένα δημόσιο πρόσωπο στις επιχειρήσεις ανά τον κόσμο. Αντίθετα με τις εκτός δικτύου ή εσωτερικές εφαρμογές , οι διαδικτυακές εφαρμογές είναι πιθανότερο να έρθουν σε επαφή με κακόβουλους χρήστες. Συνεπώς , η ασφάλεια είναι μεγάλης σημασίας για τις διαδικτυακές εφαρμογές και η αποτυχία ενίσχυσης της επαρκούς ασφάλειας μπορεί να αποτελέσει σοβαρό πρόβλημα. Μερικές από τις πιο συνήθεις επιθέσεις σε διαδικτυακές εφαρμογές είναι η πλαστογράφηση στοιχείων, η εισαγωγή Sql ερωτημάτων, η άρνηση υπηρεσίας, η υπερχείλιση buffer. Η σοβαρότητα των επιθέσεων ποικίλει από παραβίαση προσωπικών πληροφοριών και δεδομένων, κλοπή ταυτότητας, σε απώλεια ή και τροποποίηση δεδομένων (συγκεκριμένα με την εισαγωγή Sql ερωτήματος) ακόμα και πειρατεία σε μηχάνημα host. Επειδή οι διαδικτυακές εφαρμογές είναι προσβάσιμες σε δημόσιο τομέα (το διαδίκτυο), οι επιθέσεις συμβαίνουν δημόσια με αποτέλεσμα σοβαρές επιπτώσεις. Αν και πρέπει να κατανοηθεί και να εφαρμοστεί η προστασία, σημαντικό ρόλο παίζουν επίσης η επίδοση, ο σχεδιασμός και η χρηστικότητα. Το επίπεδο ασφαλείας που θα πρέπει να υιοθετηθεί είναι ανάλογα το project, αλλά θα πρέπει να δοθεί προσοχή στα λιγότερο σωστά δεδομένα και να εφαρμοστεί η αυθεντικότητα. Επίσης θα πρέπει να δοθεί προσοχή και σε άλλες τυπικές διαδικασίες για την ασφάλεια του κώδικα όπως το φιλτράρισμα δεδομένων χρησιμοποιώντας την whitelist approach, δηλαδή τη μέθοδο όπου όλα τα δεδομένα είναι ανακριβή μέχρι να κριθούν σωστά, την ασφαλή αποθήκευση των μυστικών και των ευαίσθητων λεπτομερειών (όπως οι λεπτομέρειες αυθεντικοποίησης των βάσεων δεδομένων), χρησιμοποιώντας αληθείς, εμπορικά τυποποιημένες και γνωστές μεθόδους κρυπτογραφίας και hashing και τρέχοντας σε ελάχιστα δικαιώματα οπότε να μειωθεί η σοβαρότητα των επιθέσεων εάν και εφόσον συμβούν. Ακόμα θα πρέπει να υπογραμμιστεί η σημαντικότητα του απαραίτητου ελέγχου ασφαλείας των εφαρμογών, για να σιγουρευτεί ότι υπάρχει επαρκής και σωστός χειρισμός των λαθών και ότι οι εφαρμογές δεν είναι ευαίσθητες για να διαπραγματευτούν όταν τους δίνονται απρόσμενα δεδομένα ή δραστηριότητες.