Ανασχεδιασμός ασφάλειας διαδικτυακών εφαρμογών με τη χρήση ανάλυσης ευπαθειών - Μελέτη περίπτωσης σε περιβάλλον .NET

Abstract

Οι διαδικτυακές εφαρμογές επεξεργάζονται συνήθως ευαίσθητα και προσωπικά δεδομένα των χρηστών τους. Για αυτό το λόγο, κατά την ανάπτυξη αυτών των εφαρμογών θα πρέπει να γίνεται προληπτική ανάλυση της ασφάλειας, με σκοπό τον έγκαιρο εντοπισμό και την επιδιόρθωση των ευπαθειών ασφάλειας. Οι υπεύθυνοι ανάπτυξης των εφαρμογών θα πρέπει να θεωρούν την ασφάλεια των εφαρμογών χαρακτηριστικό ίσης προτεραιότητας με την λειτουργικότητά τους. H ασφάλεια των εφαρμογών μόνο εύκολη υπόθεση δεν θα μπορούσε να χαρακτηριστεί σήμερα όπου υπάρχουν πάρα πολλά προβλήματα, αδυναμίες και απειλές ασφάλειας και συνεχώς εμφανίζονται νέες που παρουσιάζουν μεγαλύτερη πολυπλοκότητα και μειώνουν τον ασφαλή χρόνο ζωής των εφαρμογών. Οι σημαντικότερες συνέπειες που μπορούν να προκληθούν από πιθανή παραβίαση της ασφάλειας μιας διαδικτυακής εφαρμογής περιλαμβάνουν την υποκλοπή προσωπικών δεδομένων ή την καταστροφή τους, την μη διαθεσιμότητα της εφαρμογής για κάποιο χρονικό διάστημα μέχρι και την μερική καταστροφή της. Η ασφάλεια απασχολεί πια σε μεγάλο βαθμό τους προγραμματιστές κατά την διάρκεια ανάπτυξης της εφαρμογής και στην συνέχεια τους υπευθύνους ασφαλείας όταν αναφερόμαστε σε μεγάλους οργανισμούς ή εταιρείες. Αυτό όμως προϋποθέτει τη γνώση τους σε θέματα ασφάλειας των διαδικτυακών εφαρμογών και την πιστή τήρηση αυτών. Τα εργαλεία εντοπισμού ευπαθειών ασφάλειας (vulnerability scanners) χρησιμοποιούνται ως ένα εργαλείο για την προληπτική ανάλυση ευπαθειών, και την ενίσχυση της ασφάλειάς τους, στο στάδιο της ανάπτυξης των εφαρμογών. Η παρούσα διατριβή εστιάζει στον ανασχεδιασμό ασφάλειας (security re-engineering) των διαδικτυακών εφαρμογών, με βάση μία προληπτική ανάλυση ευπαθειών. Αρχικά παρουσιάζονται γνωστές αδυναμίες και ευπάθειες των διαδικτυακών εφαρμογών, Στη συνέχεια παρουσιάζεται μία τυπική διαδικτυακή εφαρμογή, η οποία έχει αναπτυχθεί σε περιβάλλον .NET και η οποία θα χρησιμοποιηθεί ως περιβάλλον δοκιμής για μία μελέτη περίπτωσης. Εφαρμόζοντας το γνωστό εργαλείο εντοπισμού ευπαθειών Nessus, γίνεται μία ανάλυση ευπαθειών της εφαρμογής. Τέλος, με βάση τα αποτελέσματα της ανάλυσης, εφαρμόζονται διορθωτικά μέτρα ασφάλειας και γίνεται ανασχεδιασμός της υλοποίησης της δοκιμαστικής εφαρμογής, με σκοπό την μείωση της έκθεσής της σε διαδικτυακές επιθέσεις ασφάλειας.