Θέματα ασφαλείας στο LAMP Web server και κενά ασφαλείας

Abstract

Στην εν λόγο διπλωματική εργασία η οποία χωρίστηκε σε θεωρητικό και σε πρακτικό μέρος, υπήρξε προσέγγιση στην διαμόρφωση LAMP διακομιστή, στις ευπάθειες που παρουσιάζει καθώς και στους τρόπους θωράκισής του απέναντι σε υπαρκτούς κινδύνους κακόβουλων χρηστών. Στο θεωρητικό μέρος γίνεται περιγραφή των στοιχείων που δομούν τον LAMP διακομιστή, συλλέχθηκαν στατιστικά στοιχεία που απεικονίζουν την διαμορφωμένη κατάσταση στα κυβερνοεγκλήματα τη σημερινή εποχή. Έγινε προσπάθεια να συγκεντρωθούν οι πιο δημοφιλείς τύποι διαδικτυακών επιθέσεων. Για κάθε τύπο επίθεσης, ακολουθεί περιγραφή, ανάλυση με παραδείγματα και προτάσεις μέτρων πρόληψης και προστασίας απέναντι σε αυτές. Γίνεται εκτενείς αναφορά στο mod security module του apache το οποίο και αποτελεί ένα τείχος προστασίας εφαρμογών το οποίο παρέχει προστασία σε μια σειρά επιθέσεων κατά των διαδικτυακών εφαρμογών και επιτρέπει την παρακολούθηση της HTTP κυκλοφορίας. Επίσης γίνεται παρουσίαση της λειτουργίας του HTTP πρωτοκόλλου που αποτελεί κύριο στοιχείο στην λειτουργία κάθε web διακομιστή. Δε θα μπορούσε βέβαια να λείπει η εκτενής αναφορά στην HTTPS υπηρεσία χαρακτηριστικό που διαθέτει η πλειονότητα κάθε ασφαλούς ιστιότοπου που διεξάγει χρηματικές συναλλαγές ή παρέχει πρόσβαση σε ευαίσθητα δεδομένα. Στο πρακτικό μέρος έγινε αρχικά εγκατάσταση του λειτουργικού ubuntu και διαμόρφωση των στοιχείων του LAMP. Στη συνέχεια έγινε ανάπτυξη διαδικτυακής εφαρμογής σε γλώσσα προγραμματισμού PHP μέσο του Geany IDE. To URL της εφαρμογής είναι το (https://62.38.100.190/, user/pass for testing admin/admin). Η προεπιλεγμένη εφαρμογή περιήγησης είναι ο Chrome μέσο του οποίου και έγιναν οι απαιτούμενοι έλεγχοι. Υπάρχει αναλυτική περιγραφή για την παραμετροποίηση τόσο του apache και της Mysql όσο και συνολικά του συστήματος. Η διαδικτυακή εφαρμογή περιλαμβάνει ένα ολοκληρωμένο και ασφαλή μηχανισμό σύνδεσης χρήστη με τον ιστιότοπο και ασφαλής περιήγησής σε περιεχόμενο σελίδων προσβάσιμων μόνο από μέλη. Η κύρια σελίδα μέλους περιλαμβάνει πεδίο αναζήτησης συνοδευόμενο από επιλογές αναζήτησης, τις οποίες ο χρήστης μπορεί να επιλέξει και να διεξάγει αναζήτηση άρθρων. Περιγράφεται η ροή ελέγχου του κώδικα με έμφαση στις τεχνικές ασφαλείας που χρησιμοποιήθηκαν, συνοδευόμενα με εικόνες εκτέλεσης της εφαρμογής και των αναφερόμενων snippets κώδικα.