Ευπάθειες διαδικτυακών εφαρμογών & web εξυπηρετητών

Abstract

Η παρούσα πτυχιακή εργασία πραγματοποιήθηκε στα πλαίσια του μεταπτυχιακού προγράμματος Δικτυοκεντρικά Συστήματα του τμήματος Ψηφιακών Συστημάτων του πανεπιστημίου Πειραιώς, αποτελεί μια έρευνα που στοχεύει στην ενημέρωση και στην κατανόηση των ευπαθειών των εξυπηρετητών του διαδικτύου. Στην παρούσα εργασία γίνεται περιγραφή κάθε μίας από τις σημαντικότερες ευπάθειες, αναλύονται τα προβλήματα που δημιουργούν στους εξυπηρετητές και αναφέρονται τρόποι αντιμετώπισης της. Επίσης για την καλύτερη κατανόηση των ευπαθειών, στο τέλος κάθε ενότητας παρουσιάζεται ένα εικονικό παράδειγμα που δημιουργήθηκε για τις ανάγκες της παρούσας πτυχιακής εργασίας. Έτσι γίνεται πιο εύκολα κατανοητό πως κάποιος κακόβουλος χρήστης μπορεί να προκαλέσει προβλήματα σε διαχειριστές εξυπηρετητών και στους servers. Δημιουργήθηκαν εικονικά sites, και βήμα βήμα εξηγείται πως κάποιος κακόβουλος χρήστης μπορεί να προσπελάσει την ασφάλεια του εξυπηρετητή και ποια είναι τα τρωτά σημεία κάθε φορά. Τα περισσότερα προβλήματα παρουσιάζονται κατά την ταυτοποίηση των χρηστών, για τον λόγο αυτό έχει δημιουργηθεί μια βάση δεδομένων που περιέχει τα στοιχεία κάποιων υποτιθέμενων χρηστών (όνομα, επίθετο, κωδικό πρόσβασης, και έναν αριθμό). Για την είσοδο στο εικονικό site, (θα μπορούσε να ήταν κάποιο blog) χρειάζονται τα στοιχεία πρόσβασης για την εισαγωγή, το όνομα και τον κωδικό. Στα παραδείγματα που δημιουργήθηκαν φαίνεται πως γίνεται η κλοπή ή η παράκαμψη της ταυτοποίησης του χρήστη. Για τη δημιουργία των πειραματικών εφαρμογών χρησιμοποιήθηκε περιβάλλον Apache/PHP/MyQL. OApache Web Server είναι το πιο δημοφιλές λογισμικό εξυπηρετητή του παγκόσμιου Ιστού. Μπορεί να εγκατασταθεί σε διάφορα λειτουργικά συστήματα, υποστηρίζει πολλές γλώσσες προγραμματισμού για τη παροχή δυναμικών σελίδων και έχει πληθώρα από modules που του δίνουν έξτρα λειτουργικότητα. Μερικά από τα πιο γνωστά modules του Apache HTTP είναι τα modules πιστοποίησης, όπως για παράδειγμα τα mod_access, mod_auth, mod_digest κ.λ.π.