Περίληψη : | Στόχος της παρούσας εργασίας αποτελεί η δημιουργία ενός οδηγού ελέγχων ασφάλειας για εφαρμογές ιστού που αναφέρονται σε ένα σύνολο υπηρεσιών που χρησιμοποιούνται για να ανιχνεύουν τα διάφορα θέματα ασφάλειας σχετικά με τις εφαρμογές ιστού. Επιπλέον, με τον οδηγό ελέγχων ασφάλειας για εφαρμογές ιστού προσδιορίζονται οι σημαντικότερες και πιο σύγχρονες ευπάθειες και οι κίνδυνοι που υπάρχουν πλέον στις εφαρμογές ιστού. Τα πλαίσια εφαρμογών τα οποία επιλέχθηκαν για να εντοπιστούν οι κυριότερες ευπάθειες που υπάρχουν είναι: Mitre, ISSAF(Information Systems Security Assessment Framework), NIST (National Institute Of Standards and Technology), SANS (Top Internet Security Problems Threats and Risks), Web Application Security Consortium, WhiteHat Website Security Statistics Report, OWA-SM (Ethical Hacker Group), OWASP(Open Web Application Security Project). Ως συνέπεια της χρησιμοποίησης των παραπάνω πλαισίων εφαρμογών, οι κυριότερες ευπάθειες των εφαρμογών ιστού είναι οι ακόλουθες: *Cross Site Scripting (XSS) * Injection Flaws * Εκτέλεση κακόβουλου αρχείου (Malicious File Execution) * Μη ασφαλής άμεση αναφορά αντικείμενου (Insecure Direct Object Reference) * Cross Site Request Forgery(CSRF) * Διαρροή πληροφοριών και ακατάλληλη κράτηση λαθών (Information Leakage and Improper Error Handling) *Σπάσιμο αυθεντικοποίησης και Διαχείριση Συνεδριών (Broken Authentication and Session Management) *Μη ασφαλής κρυπτογραφική αποθήκευση (Insecure Cryptographic Storage) * Μη ασφαλείς επικοινωνίες( Insecure Communications) * Αποτυχία περιορισμού της πρόσβασης στο URL (Failure to Restrict URL Access)Οι εταιρείες και οι προγραμματιστές, προκειμένου να υλοποιούν εφαρμογές ιστού επιτυχώς, θα πρέπει να γνωρίζουν τις κυριότερες ευπάθειες και τους κινδύνους που υπάρχουν σε παγκόσμια κλίμακα. Αυτό σημαίνει ότι η εκμετάλλευση των ευπαθειών στις εφαρμογές ιστού από κακόβουλους χρήστες θα μπορεί να αποφευχθεί. Mία από τις καλύτερες μεθόδους αποτροπής των κενών ασφάλειας στις Εφαρμογές Παγκοσμίου Ιστού είναι να βελτιωθεί ο κύκλος ζωής ανάπτυξης λογισμικού (SDLC) με την συμπερίληψη της ασφάλειας σε κάθε μια από τις φάσεις της. Οι επιχειρήσεις στις εφαρμογές του ιστού πρέπει να επιθεωρήσουν το γενικό πρότυπο SDLC για να εξασφαλίσουν ότι η ασφάλεια είναι ένα αναπόσπαστο τμήμα της διαδικασίας ανάπτυξης. [MEIE06] The aim of this Thesis is to develop a testing guide for web applications related to a number of services. These services are used to identify various security issues within web applications. Furthermore, this testing guide for web applications will determine the most important vulnerabilities and risks that currently exist in web applications. All the chosen frameworks used to locate the main vulnerabilities in web applications that exist worldwide are: Mitre, ISSAF (Information Systems Security Assessment Framework), NIST (National Institute Of Standards and Technology), SANS (Top Internet Security Problems Threats and Risks), Web Application Security Consortium, WhiteHat Website Security Statistics Report, OWA-SM (Ethical Hacker Group), OWASP (Open Web Application Security Project). As a consequence of studying the above frameworks, the main vulnerabilities in web applications are as follows:* Cross Site Scripting (XSS)* Injection Flaws* Malicious File Execution* Insecure Direct Object Reference* Cross Site Request Forgery (CSRF)* Information Leakage and Improper Error Handling* Broken Authentication and Session Management*Insecure Cryptographic Storage* Insecure Communications*Failure to Restrict URL Access Companies and web developers, in order to implement new web applications successfully,they should know the key vulnerabilities and risks that exist. This means that use of these vulnerabilities in web applications by malicious users can be avoided. One of the best ways to prevent gaps in security is to adopt the software development life cycle (SDLC) with the inclusion of security in each of its phases. Web companies must consider the general standard SDLC to incorporate security in the development process [MEIE06].
|
---|