ΠΥΞΙΔΑ Ιδρυματικό Αποθετήριο
και Ψηφιακή Βιβλιοθήκη
Συλλογές :

Τίτλος :Τεχνολογίες ανάπτυξης ασφαλούς λογισμικού
Εναλλακτικός τίτλος :Secure software development technologies
Δημιουργός :Μητρόπουλος, Δημήτριος
Συντελεστής :Σπινέλλης, Διομήδης (Επιβλέπων καθηγητής)
Κερομύτης, Άγγελος (Εξεταστής)
Κάτσικας, Σωκράτης (Εξεταστής)
Γκρίτζαλης, Στέφανος (Εξεταστής)
Ξενάκης, Χρήστος (Εξεταστής)
Ιωαννίδης, Σωτήρης (Εξεταστής)
Βλάχος, Βασίλειος (Εξεταστής)
Οικονομικό Πανεπιστήμιο Αθηνών, Τμήμα Διοικητικής Επιστήμης και Τεχνολογίας (Degree granting institution)
Τύπος :Text
Σημείωση :H παρούσα έρευνα έχει συγχρηματοδοτηθεί από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο - ΕΚΤ) και από εθνικούς πόρους μέσω του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» του Εθνικού Στρατηγικού Πλαισίου Αναφοράς (ΕΣΠΑ) – Ερευνητικό Χρηματοδοτούμενο Έργο: Ηράκλειτος ΙΙ. Επένδυση στην κοινωνία της γνώσης μέσω του Ευρωπαϊκού Κοινωνικού Ταμείου.
Γλώσσα :en
Αναγνωριστικό :http://www.pyxida.aueb.gr/index.php?op=view_object&object_id=6031
Περίληψη :Οι επιθέσεις ένεσης κώδικα είναι από τις πλεον διαδεδομένες και επικίνδυνες επιθέσεις στο διαδίκτυο. Στο πλαίσιο της διατριβής αυτής αναπτύξαμε μια δυναμική μέθοδος ανίχνευσης επιθέσεων τέτοιου τύπου. Η μέθοδος αυτή χρησιμοποιεί μοναδικά αναγνωριστικά («υπογραφές»). Τα αναγνωριστικά αυτά συνδυάζουν σταθερά στοιχεία ευάλωτoυ κώδικα με στοιχεία που προέρχονται από το περιβάλλον εκτέλεσης της εφαρμογής. Η μέθοδός μας δουλεύει σε δύο φάσεις: «εκμάθησης» και «παραγωγής». Κατά τη διάρκεια της εκμάθησης του συστήματος οι βιβλιοθήκες εφαρμόζουν μια κρυπτογραφική συνάρτηση κατακερματισμού στα στοιχεία που συνδυάζονται. Το αποτέλεσμα που είναι η «υπογραφή», αποθηκεύεται σε έναν πίνακα. Όταν η προσέγγιση βρίσκεται στην φάση της παραγωγής, τότε τα βήματα που ακολουθούνται είναι ίδια μέχρι να φτιαχτεί και πάλι μια υπογραφή. Εαν αυτή υπάρχει στον πίνακα που δημιουργήθηκε κατά την φάση της παραγωγής τότε ο κώδικας εκτελείται κανονικά. Εαν δεν υπάρχει τότε πιθανότατα μια επίθεση ένεσης λαμβάνει χώρα. Για να επικυρώσουμε την προσέγγισή μας, υλοποιήσαμε τρεις μηχανισμούς που προστατεύουν τις εφαρμογές από επιθέσεις ένεσης κώδικα SQL, XPath και JavaScript αντίστοιχα. Επιπλέον, εξετάσαμε τους μηχανισμούς μας σε σχέση με την ακρίβεια τους. Κατα πόσο είναι αποτελεσματικοί δηλαδή στην ανίχνευση επιθέσεων. Ακόμη εξετάσαμε και την υπολογιστική επιβάρυνση τους σε σχέση με την εφαρμογή που προστατεύουν. Στις δοκιμές μας, δεν προέκυψαν ψευδή θετικά ή αρνητικά αποτελέσματα. Επίσης, σε όλες τις περιπτώσεις οι μηχανισμοί μπορούν να έχουν πρακτική αξία μιας και επιβαρύνουν ελάχιστα την προστατευόμενη εφαρμογή.
Code injection exploits a software vulnerability through which a malicious user can make an application run unauthorized code. Server applications frequently employ dynamic and domain-specific languages, which are used as vectors for the attack. We propose a generic approach that prevents the class of injection attacks involving these vectors: our scheme detects attacks by using location-specific signatures to validate code statements. The signatures are unique identifiers that represent specific characteristics of a statement's execution. We have applied our approach successfully to defend against attacks targeting SQL, XPath and JavaScript.
Λέξη κλειδί :Ασφάλεια διαδικτυακών εφαρμογών
Επιθέσεις ένεσης κώδικα
Αμυντικοί μηχανισμοί εκμάθησης
Application security
Code injection attacks
Training security mechanisms
Διαθέσιμο από :2018-04-30 16:52:37
Ημερομηνία έκδοσης :2014
Ημερομηνία κατάθεσης :2018-04-30 16:52:37
Δικαιώματα χρήσης :Free access
Άδεια χρήσης :

Αρχείο: Mitropoulos_2014.pdf

Τύπος: application/pdf