Περίληψη : | Τις τελευταίες δεκαετίες, οι διαδικτυακές εφαρμογές έχουν γίνει ο πιο διαδεδομένος τρόπος παρο-χής υπηρεσιών. Καθώς ενσωματώνονται πλέον βαθιά σε όλες τις δραστηριότητες της ανθρώπινηςζωής, ο σχεδιασμός και η υλοποίηση τους γίνονται ολοένα και πιο περίπλοκες. Δυστυχώς, η κακήσχεδίαση, η πολυπλοκότητα και η άγνοια των προγραμματιστών κατά τη διάρκεια της ανάπτυξηςτους, τις καθιστά ευάλωτες προς εκμετάλλευση από κακόβουλους χρήστες.Σε αυτή την διπλωματική διατριβή θα αναλύσουμε σύγχρονες τεχνικές εκμετάλλευσης ευπαθειών σεεφαρμογές διαδικτύου. Οι ευπάθειες που εμφανίζονται σήμερα στις διαδικτυακές εφαρμογές είναιπολλές και με διαφορετική κλίμακα επικινδυνότητας. Εμείς θα αναλύσουμε τεχνικές εκμετάλλευσηςσε μερικές από αυτές και πιο συγκεκριμένα θα εστιάσουμε τη προσοχή μας στις SQL εγχύσεις, CrossSite Scripting εγχύσεις, Insecure Deserialization και ευάλωτες υλοποίησης JSON Web Token.Καθ’ όλη την ανάπτυξη της διατριβής έχει ακολουθηθεί συγκεκριμένη διαδικασία. Αρχικά δίνουμεένα θεωρητικό υπόβαθρο για την κάθε ευπάθεια και αναφέρουμε μερικούς κινδύνους που εμφανί-ζονται. Στην συνέχεια έχουμε προβεί στην ανάπτυξη ευάλωτων εφαρμογών χρησιμοποιώντας σύγ-χρονες τεχνολογίες ανάπτυξης λογισμικού. Τέλος, βασιζόμενοι στις εφαρμογές που αναπτύξαμε έ-χουμε αναλύσει σύγχρονες τεχνικές εκμετάλλευσης ευπαθειών. In the recent decades, web applications have become the most common way of providing services. Asthey are now deeply integrated almost into all the human life activities, their design and implementa-tion have become more and more complicated. Unfortunately, the poor design, complexity, and igno-rance of the developers during the development some makes them more vulnerable to exploitationby malicious users.In this dissertation we will analyze modern techniques for exploiting vulnerabilities of web applica-tions. The vulnerabilities that appear today are quite few and with various degrees of risk. We willanalyze some of the exploitation techniques, and more specifically we will focus on SQL injections,Cross Site Scripting injections, Insecure Deserialization, and vulnerable implementation of JSON WebToken.A specific procedure has been followed throughout the development of this dissertation. First, weprovide a theoretical background for each vulnerability and mention some of the risks that arise. Thenwe have developed vulnerable applications using modern software development technologies. Finally,based on the applications we have developed, we have analyzed modern vulnerability exploitationtechniques accordingly.
|
---|