Βιβλιοθήκη ΟΠΑ - Ψηφιακό Αποθετήριο

ΠΥΞΙΔΑ Ιδρυματικό Αποθετήριο
και Ψηφιακή Βιβλιοθήκη

Όνομα χρήστη
Κωδικός πρόσβασης

Συλλογές :	Ιδρυματικό Αποθετήριο ΟΠΑ / AUEB Institutional Repository Σχολή Επιστημών και Τεχνολογίας της Πληροφορίας / School of Informatics Τμήμα Πληροφορικής / Department of Informatics Μεταπτυχιακές Εργασίες / Postgraduate dissertations

Τίτλος :	Πρακτική προσέγγιση ασφαλείας στον παγκόσμιο ιστό: υλοποίηση ιστοτόπου HackMe

Δημιουργός :	Κίρτσιος, Νικόλαος

Συντελεστής :	Μαριάς, Ιωάννης (Επιβλέπων καθηγητής) Οικονομικό Πανεπιστήμιο Αθηνών, Τμήμα Πληροφορικής (Degree granting institution)

Τύπος :	Text

Φυσική περιγραφή :	99σ.

Γλώσσα :	el

Περίληψη :	Η εξέλιξη της ίδιας της φύσης του διαδικτύου και οι ολοένα προστιθέμενες τεχνολογίες αυτού, τόσο στον ίδιο τον παγκόσμιο ιστό (WEB 2.0, Ajax, Semantic Web, Social Web κτλ) όσο και στην ικανότητα υποστήριξης νέων εφαρμογών ιστού, (e-Banking, Ηλεκτρονικά μαγαζιά, ιστολόγια, κτλ) μετατρέπει τον ίδιο τον ιστό από ένα ενημερωτικό μέσο, σε ένα λειτουργικό περιβάλλον ολοκληρωμένων και σύνθετων συστημάτων λογισμικού με μοναδικά χαρακτηριστικά (διαλογικότητα, πανταχού παρόντα, σημασιολογικότητα κτλ) Ο παγκόσμιος ιστός μέσα σε αυτήν την εκρηκτική του εξέλιξη μετατρέπεται παράλληλα, σε ένα πολύ μεγάλο πεδίο μάχης μεταξύ των επιτιθέμενων και των αμυνόμενων. Η ασφάλεια σε τέτοια περιβάλλοντα είναι μία νέα αξία, κατά της οποίας θα πρέπει να δίδεται ιδιαίτερη σημασία σε όλες τις φάσεις του κύκλου ζωής μίας εφαρμογής ιστού. Σκοπός του παρόντος συγγράμματος είναι να προσεγγίσει από την πρακτική του πλευρά αλλά και πολύπλευρα την ασφάλεια στον παγκόσμιο ιστό και να τονίσει την ιδιαίτερη και ολοένα αυξανόμενη αξία της.Το σύγγραμμα αποτελείται από 5 κεφάλαια και προτείνεται η ακολουθιακή ανάγνωσή τους (χωρίς όμως, εξαρτώμενα να συνδέονται μεταξύ τους)Στο πρώτο κεφάλαιο (1. Εφαρμογές ιστού και ασφάλεια) γίνεται μία εισαγωγική περιγραφή της εξελίξεως των εφαρμογών ιστού στο πέρασμα του χρόνου καθώς και τονίζονται τα θέματα ασφάλειας τα οποία πλέον θα πρέπει να αντιμετωπίζονται με ιδιαίτερη σημασία. Στην πορεία παρουσιάζονται οι βασικές τεχνολογίες στις οποίες βασίζεται ο ιστός (όπως το μοντέλο πελάτη – εξυπηρετητή, το πρωτόκολλο HTTP) και στις γλώσσες προγραμματισμού όπου χρησιμοποιούνται για την ανάπτυξη εφαρμογών ιστού. Τέλος γίνεται μία ιστορική ανασκόπηση στα πιο ουσιαστικά γεγονότα και πρόσωπα της περιοχής.Στο δεύτερο κεφάλαιο (2. Ευπάθειες παγκόσμιου ιστού) περιγράφονται μερικές γνωστές ευπάθειες οι οποίες μπορεί να υπάρξουν σε μία Web εφαρμογή όπως SQL injections, XSS επιθέσεις, Stealing cookie, Phishing via XSS, Directory traversal, Remote file inclusion, Direct access vulnerability, Brute force localization και Global variable overwriting. Στο τρίτο κεφάλαιο (3. Ο ιστότοπος [-]4(]xnn3) παρουσιάζεται μία ειδική εφαρμογή ιστού, η οποία αναπτύχθηκε για την υποστήριξη του αυτού συγγράμματος και αποσκοπεί στο να θίξει θέματα ασφάλειας από την πρακτική τους πλευρά σε ένα περιβάλλον «χαλαρής» ασφάλειας, με απώτερο τελικό στόχο: την εκμάθηση βασικών κανόνων ασφάλειας και καλού προγραμματισμού με σκοπό την μείωση των ευπαθειών, την μελέτη τεχνικών επιθέσεων και ανιχνεύσεων ευπαθειών σε πρακτικό επίπεδο και τέλος την ορθολογική εξέταση λύσεων μερικών προβλημάτων ασφάλειας για την θωράκιση των web εφαρμογών και την προστασία από κακόβουλες ενέργειες επιτιθέμενων.Στο τέταρτο κεφάλαιο (4. Γνωστές ευπάθειες) αρχικά παρουσιάζονται κάποια πρότυπα ασφάλειας τα οποία έχουν σχεδιαστεί αποκλειστικά για γνωστά προβλήματα ασφάλειας και μπορούν συνεκδοχικά να οδηγήσουν σε αναφορές γνωστών ευπαθειών, στην ανάλυση γνωστών προτύπων επιθέσεων και τρόπους αντιμετώπισης τους, στην εύρεση τρωτών σημείων σε ένα σύστημα, στην αναφορά αποτελεσμάτων ασφάλειας, στη δημιουργία πολιτικών ασφάλειας έως και στον σχεδόν πλήρη αυτοματοποιημένο έλεγχο. Τέλος παρουσιάζονται κάποιες επιθέσεις γνωστών ευπαθειών σύμφωνα με το πρότυπο Common Vulnerability and Exposures (CVE) σε δημοφιλείς διαδικτυακές εφαρμογές ανοικτού λογισμικού όπως Joomla, Drupal, WordPress και phpMyAdmin. Τέλος στο πέμπτο κεφάλαιο (5. Οι επιθέσεις του 2008) παρουσιάζεται μία έρευνα του Jeremiah Grossman η οποία συσχετίζεται με τις δέκα πιο κορυφαίες τεχνικές επιθέσεων στον παγκόσμιο ιστό για το έτος 2008 και η οποία έχει παρουσιαστεί στο συνέδριο RSA το 2009. Στο ίδιο κεφάλαιο θα αναλυθούν οι δέκα αυτές τεχνικές επιθέσεων (συμφώνως αναφορών των δημιουργών τους). The development of the nature itself of the network as well as its increasing technologies, in the World Wide Web itself (WEB 2.0, Ajax, Semantic Web, Social Web etc) and in its ability to support new web applications (e-Banking, e-Shopping, e-Blogs, etc) transforms the web from a medium of information to a functioning environment of integrated and composite software systems with exceptional characteristics. The World Wide Web, in its bursting development, transforms, at the same time, into a great “battlefield” between those that attack and those that defend. The security in these environments is a brand-new value, extremely important for all the phases of a life cycle in a Web application. This dissertation aims at approaching, practically as well as multilaterally the security issues in the World Wide Web and at laying emphasis on its increasingly important value. The dissertation consists of five chapters, as follows: In the first chapter (1.Web applications and security), we will describe the development of the Web applications and point out all security issues that should be dealt nowadays with great attention. Following to that, we will present the main technologies on which the Web is based (such as the model of client – server, the protocol HTTP) and the programming languages used for the development of the Web applications. Last but not least, we will make a review on the most important persons and events involved in security issues.In the second chapter, (2. Vulnerabilities of the World Wide Web) we will describe some of the most known vulnerabilities that we may meet in a Web application, such as SQL injections, XSS attacks, Stealing cookie, Phishing via XSS, Directory traversal, Remote file inclusion, Direct access vulnerability, Brute force localization and Global variable overwriting. In the third chapter, (3. The web [-]4(]xnn3) a special Web application is presented that was developed for the support of this dissertation and aims at handling security issues, from the practical aspect, in an environment of “loose” safety, while its main object is to: a. learn the basic rules for security and for correct programming for the reduction of vulnerabilities, b. study the technical attacks and the detection of vulnerabilities on a practical level and c. examine, on a rational basis, the potential solutions in certain security problems for the shielding of Web applications and for the protection from malignant actions of attackers.In the fourth chapter (4. Common Vulnerabilities), we describe, at first, some security models, designed exclusively for known security problems and can lead to: a. reports of common vulnerabilities, b. the analysis of common models of attacks and ways of dealing with them, c. the detection of defects in a system, d. the reports of security results, e. the formation of security policies up to almost the complete automatic control. In the end, we shall introduce some attacks of common vulnerabilities, according to the model Common Vulnerability and Exposures (CVE) in popular Web applications of open source software, such as Joomla, Drupal, WordPress and phpMyAdmin. Concluding, in the fifth chapter, (5. The attacks of 2008), a research of Jeremiah Grossman is represented, that is interrelated to ten of the most important techniques of attacks in the World Wide Web in the year 2008 and was presented in the convention RSA in 2009. In the same chapter, an analysis of these ten techniques of attacks will be also presented and elaborated.

Περίληψη :

Η εξέλιξη της ίδιας της φύσης του διαδικτύου και οι ολοένα προστιθέμενες τεχνολογίες αυτού, τόσο στον ίδιο τον παγκόσμιο ιστό (WEB 2.0, Ajax, Semantic Web, Social Web κτλ) όσο και στην ικανότητα υποστήριξης νέων εφαρμογών ιστού, (e-Banking, Ηλεκτρονικά μαγαζιά, ιστολόγια, κτλ) μετατρέπει τον ίδιο τον ιστό από ένα ενημερωτικό μέσο, σε ένα λειτουργικό περιβάλλον ολοκληρωμένων και σύνθετων συστημάτων λογισμικού με μοναδικά χαρακτηριστικά (διαλογικότητα, πανταχού παρόντα, σημασιολογικότητα κτλ) Ο παγκόσμιος ιστός μέσα σε αυτήν την εκρηκτική του εξέλιξη μετατρέπεται παράλληλα, σε ένα πολύ μεγάλο πεδίο μάχης μεταξύ των επιτιθέμενων και των αμυνόμενων. Η ασφάλεια σε τέτοια περιβάλλοντα είναι μία νέα αξία, κατά της οποίας θα πρέπει να δίδεται ιδιαίτερη σημασία σε όλες τις φάσεις του κύκλου ζωής μίας εφαρμογής ιστού. Σκοπός του παρόντος συγγράμματος είναι να προσεγγίσει από την πρακτική του πλευρά αλλά και πολύπλευρα την ασφάλεια στον παγκόσμιο ιστό και να τονίσει την ιδιαίτερη και ολοένα αυξανόμενη αξία της.Το σύγγραμμα αποτελείται από 5 κεφάλαια και προτείνεται η ακολουθιακή ανάγνωσή τους (χωρίς όμως, εξαρτώμενα να συνδέονται μεταξύ τους)Στο πρώτο κεφάλαιο (1. Εφαρμογές ιστού και ασφάλεια) γίνεται μία εισαγωγική περιγραφή της εξελίξεως των εφαρμογών ιστού στο πέρασμα του χρόνου καθώς και τονίζονται τα θέματα ασφάλειας τα οποία πλέον θα πρέπει να αντιμετωπίζονται με ιδιαίτερη σημασία. Στην πορεία παρουσιάζονται οι βασικές τεχνολογίες στις οποίες βασίζεται ο ιστός (όπως το μοντέλο πελάτη – εξυπηρετητή, το πρωτόκολλο HTTP) και στις γλώσσες προγραμματισμού όπου χρησιμοποιούνται για την ανάπτυξη εφαρμογών ιστού. Τέλος γίνεται μία ιστορική ανασκόπηση στα πιο ουσιαστικά γεγονότα και πρόσωπα της περιοχής.Στο δεύτερο κεφάλαιο (2. Ευπάθειες παγκόσμιου ιστού) περιγράφονται μερικές γνωστές ευπάθειες οι οποίες μπορεί να υπάρξουν σε μία Web εφαρμογή όπως SQL injections, XSS επιθέσεις, Stealing cookie, Phishing via XSS, Directory traversal, Remote file inclusion, Direct access vulnerability, Brute force localization και Global variable overwriting. Στο τρίτο κεφάλαιο (3. Ο ιστότοπος [-]4(]xnn3) παρουσιάζεται μία ειδική εφαρμογή ιστού, η οποία αναπτύχθηκε για την υποστήριξη του αυτού συγγράμματος και αποσκοπεί στο να θίξει θέματα ασφάλειας από την πρακτική τους πλευρά σε ένα περιβάλλον «χαλαρής» ασφάλειας, με απώτερο τελικό στόχο: την εκμάθηση βασικών κανόνων ασφάλειας και καλού προγραμματισμού με σκοπό την μείωση των ευπαθειών, την μελέτη τεχνικών επιθέσεων και ανιχνεύσεων ευπαθειών σε πρακτικό επίπεδο και τέλος την ορθολογική εξέταση λύσεων μερικών προβλημάτων ασφάλειας για την θωράκιση των web εφαρμογών και την προστασία από κακόβουλες ενέργειες επιτιθέμενων.Στο τέταρτο κεφάλαιο (4. Γνωστές ευπάθειες) αρχικά παρουσιάζονται κάποια πρότυπα ασφάλειας τα οποία έχουν σχεδιαστεί αποκλειστικά για γνωστά προβλήματα ασφάλειας και μπορούν συνεκδοχικά να οδηγήσουν σε αναφορές γνωστών ευπαθειών, στην ανάλυση γνωστών προτύπων επιθέσεων και τρόπους αντιμετώπισης τους, στην εύρεση τρωτών σημείων σε ένα σύστημα, στην αναφορά αποτελεσμάτων ασφάλειας, στη δημιουργία πολιτικών ασφάλειας έως και στον σχεδόν πλήρη αυτοματοποιημένο έλεγχο. Τέλος παρουσιάζονται κάποιες επιθέσεις γνωστών ευπαθειών σύμφωνα με το πρότυπο Common Vulnerability and Exposures (CVE) σε δημοφιλείς διαδικτυακές εφαρμογές ανοικτού λογισμικού όπως Joomla, Drupal, WordPress και phpMyAdmin. Τέλος στο πέμπτο κεφάλαιο (5. Οι επιθέσεις του 2008) παρουσιάζεται μία έρευνα του Jeremiah Grossman η οποία συσχετίζεται με τις δέκα πιο κορυφαίες τεχνικές επιθέσεων στον παγκόσμιο ιστό για το έτος 2008 και η οποία έχει παρουσιαστεί στο συνέδριο RSA το 2009. Στο ίδιο κεφάλαιο θα αναλυθούν οι δέκα αυτές τεχνικές επιθέσεων (συμφώνως αναφορών των δημιουργών τους).
The development of the nature itself of the network as well as its increasing technologies, in the World Wide Web itself (WEB 2.0, Ajax, Semantic Web, Social Web etc) and in its ability to support new web applications (e-Banking, e-Shopping, e-Blogs, etc) transforms the web from a medium of information to a functioning environment of integrated and composite software systems with exceptional characteristics. The World Wide Web, in its bursting development, transforms, at the same time, into a great “battlefield” between those that attack and those that defend. The security in these environments is a brand-new value, extremely important for all the phases of a life cycle in a Web application. This dissertation aims at approaching, practically as well as multilaterally the security issues in the World Wide Web and at laying emphasis on its increasingly important value. The dissertation consists of five chapters, as follows: In the first chapter (1.Web applications and security), we will describe the development of the Web applications and point out all security issues that should be dealt nowadays with great attention. Following to that, we will present the main technologies on which the Web is based (such as the model of client – server, the protocol HTTP) and the programming languages used for the development of the Web applications. Last but not least, we will make a review on the most important persons and events involved in security issues.In the second chapter, (2. Vulnerabilities of the World Wide Web) we will describe some of the most known vulnerabilities that we may meet in a Web application, such as SQL injections, XSS attacks, Stealing cookie, Phishing via XSS, Directory traversal, Remote file inclusion, Direct access vulnerability, Brute force localization and Global variable overwriting. In the third chapter, (3. The web [-]4(]xnn3) a special Web application is presented that was developed for the support of this dissertation and aims at handling security issues, from the practical aspect, in an environment of “loose” safety, while its main object is to: a. learn the basic rules for security and for correct programming for the reduction of vulnerabilities, b. study the technical attacks and the detection of vulnerabilities on a practical level and c. examine, on a rational basis, the potential solutions in certain security problems for the shielding of Web applications and for the protection from malignant actions of attackers.In the fourth chapter (4. Common Vulnerabilities), we describe, at first, some security models, designed exclusively for known security problems and can lead to: a. reports of common vulnerabilities, b. the analysis of common models of attacks and ways of dealing with them, c. the detection of defects in a system, d. the reports of security results, e. the formation of security policies up to almost the complete automatic control. In the end, we shall introduce some attacks of common vulnerabilities, according to the model Common Vulnerability and Exposures (CVE) in popular Web applications of open source software, such as Joomla, Drupal, WordPress and phpMyAdmin. Concluding, in the fifth chapter, (5. The attacks of 2008), a research of Jeremiah Grossman is represented, that is interrelated to ten of the most important techniques of attacks in the World Wide Web in the year 2008 and was presented in the convention RSA in 2009. In the same chapter, an analysis of these ten techniques of attacks will be also presented and elaborated.

Λέξη κλειδί :	Εφαρμογές ιστού Ασφάλεια εφαρμογών Ευπάθειες παγκόσμιου ιστού

Ημερομηνία :	2010

Άδεια χρήσης :

Αρχείο: Kirtsios_2010.pdf

Τύπος: application/pdf

Αρχείο: Parousiasi.pdf

Τύπος: application/pdf

Είσοδος