AUEB Library - Digital Repository

PYXIDA Institutional Repository
and Digital Library

Username
Password

Collections :	Ιδρυματικό Αποθετήριο ΟΠΑ / AUEB Institutional Repository Σχολή Διοίκησης Επιχειρήσεων / School of Business Τμήμα Διοικητικής Επιστήμης και Τεχνολογίας / Department of Management Science and Technology Διδακτορικές διατριβές / PhD Theses

Title :	Secure software development technologies

Alternative Title :	Τεχνολογίες ανάπτυξης ασφαλούς λογισμικού

Creator :	Μητρόπουλος, Δημήτριος Mitropoulos, Dimitrios

Contributor :	Σπινέλλης, Διομήδης (Επιβλέπων καθηγητής) Κερομύτης, Άγγελος (Εξεταστής) Κάτσικας, Σωκράτης (Εξεταστής) Γκρίτζαλης, Στέφανος (Εξεταστής) Ξενάκης, Χρήστος (Εξεταστής) Ιωαννίδης, Σωτήρης (Εξεταστής) Βλάχος, Βασίλειος (Εξεταστής) Athens University of Economics and Business, Department of Management Science and Technology (Degree granting institution)

Contributor :

Σπινέλλης, Διομήδης (Επιβλέπων καθηγητής)
Κερομύτης, Άγγελος (Εξεταστής)
Κάτσικας, Σωκράτης (Εξεταστής)
Γκρίτζαλης, Στέφανος (Εξεταστής)
Ξενάκης, Χρήστος (Εξεταστής)
Ιωαννίδης, Σωτήρης (Εξεταστής)
Βλάχος, Βασίλειος (Εξεταστής)
Athens University of Economics and Business, Department of Management Science and Technology (Degree granting institution)

Type :	Text

Notes :	H παρούσα έρευνα έχει συγχρηματοδοτηθεί από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο - ΕΚΤ) και από εθνικούς πόρους μέσω του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» του Εθνικού Στρατηγικού Πλαισίου Αναφοράς (ΕΣΠΑ) – Ερευνητικό Χρηματοδοτούμενο Έργο: Ηράκλειτος ΙΙ. Επένδυση στην κοινωνία της γνώσης μέσω του Ευρωπαϊκού Κοινωνικού Ταμείου.

Notes :

H παρούσα έρευνα έχει συγχρηματοδοτηθεί από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο - ΕΚΤ) και από εθνικούς πόρους μέσω του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» του Εθνικού Στρατηγικού Πλαισίου Αναφοράς (ΕΣΠΑ) – Ερευνητικό Χρηματοδοτούμενο Έργο: Ηράκλειτος ΙΙ. Επένδυση στην κοινωνία της γνώσης μέσω του Ευρωπαϊκού Κοινωνικού Ταμείου.

Extent :	159p.

Language :	en

Identifier :	http://www.pyxida.aueb.gr/index.php?op=view_object&object_id=6031

Abstract :	Οι επιθέσεις ένεσης κώδικα είναι από τις πλεον διαδεδομένες και επικίνδυνες επιθέσεις στο διαδίκτυο. Στο πλαίσιο της διατριβής αυτής αναπτύξαμε μια δυναμική μέθοδος ανίχνευσης επιθέσεων τέτοιου τύπου. Η μέθοδος αυτή χρησιμοποιεί μοναδικά αναγνωριστικά («υπογραφές»). Τα αναγνωριστικά αυτά συνδυάζουν σταθερά στοιχεία ευάλωτoυ κώδικα με στοιχεία που προέρχονται από το περιβάλλον εκτέλεσης της εφαρμογής. Η μέθοδός μας δουλεύει σε δύο φάσεις: «εκμάθησης» και «παραγωγής». Κατά τη διάρκεια της εκμάθησης του συστήματος οι βιβλιοθήκες εφαρμόζουν μια κρυπτογραφική συνάρτηση κατακερματισμού στα στοιχεία που συνδυάζονται. Το αποτέλεσμα που είναι η «υπογραφή», αποθηκεύεται σε έναν πίνακα. Όταν η προσέγγιση βρίσκεται στην φάση της παραγωγής, τότε τα βήματα που ακολουθούνται είναι ίδια μέχρι να φτιαχτεί και πάλι μια υπογραφή. Εαν αυτή υπάρχει στον πίνακα που δημιουργήθηκε κατά την φάση της παραγωγής τότε ο κώδικας εκτελείται κανονικά. Εαν δεν υπάρχει τότε πιθανότατα μια επίθεση ένεσης λαμβάνει χώρα. Για να επικυρώσουμε την προσέγγισή μας, υλοποιήσαμε τρεις μηχανισμούς που προστατεύουν τις εφαρμογές από επιθέσεις ένεσης κώδικα SQL, XPath και JavaScript αντίστοιχα. Επιπλέον, εξετάσαμε τους μηχανισμούς μας σε σχέση με την ακρίβεια τους. Κατα πόσο είναι αποτελεσματικοί δηλαδή στην ανίχνευση επιθέσεων. Ακόμη εξετάσαμε και την υπολογιστική επιβάρυνση τους σε σχέση με την εφαρμογή που προστατεύουν. Στις δοκιμές μας, δεν προέκυψαν ψευδή θετικά ή αρνητικά αποτελέσματα. Επίσης, σε όλες τις περιπτώσεις οι μηχανισμοί μπορούν να έχουν πρακτική αξία μιας και επιβαρύνουν ελάχιστα την προστατευόμενη εφαρμογή. Code injection exploits a software vulnerability through which a malicious user can make an application run unauthorized code. Server applications frequently employ dynamic and domain-specific languages, which are used as vectors for the attack. We propose a generic approach that prevents the class of injection attacks involving these vectors: our scheme detects attacks by using location-specific signatures to validate code statements. The signatures are unique identifiers that represent specific characteristics of a statement's execution. We have applied our approach successfully to defend against attacks targeting SQL, XPath and JavaScript.

Abstract :

Οι επιθέσεις ένεσης κώδικα είναι από τις πλεον διαδεδομένες και επικίνδυνες επιθέσεις στο διαδίκτυο. Στο πλαίσιο της διατριβής αυτής αναπτύξαμε μια δυναμική μέθοδος ανίχνευσης επιθέσεων τέτοιου τύπου. Η μέθοδος αυτή χρησιμοποιεί μοναδικά αναγνωριστικά («υπογραφές»). Τα αναγνωριστικά αυτά συνδυάζουν σταθερά στοιχεία ευάλωτoυ κώδικα με στοιχεία που προέρχονται από το περιβάλλον εκτέλεσης της εφαρμογής. Η μέθοδός μας δουλεύει σε δύο φάσεις: «εκμάθησης» και «παραγωγής». Κατά τη διάρκεια της εκμάθησης του συστήματος οι βιβλιοθήκες εφαρμόζουν μια κρυπτογραφική συνάρτηση κατακερματισμού στα στοιχεία που συνδυάζονται. Το αποτέλεσμα που είναι η «υπογραφή», αποθηκεύεται σε έναν πίνακα. Όταν η προσέγγιση βρίσκεται στην φάση της παραγωγής, τότε τα βήματα που ακολουθούνται είναι ίδια μέχρι να φτιαχτεί και πάλι μια υπογραφή. Εαν αυτή υπάρχει στον πίνακα που δημιουργήθηκε κατά την φάση της παραγωγής τότε ο κώδικας εκτελείται κανονικά. Εαν δεν υπάρχει τότε πιθανότατα μια επίθεση ένεσης λαμβάνει χώρα. Για να επικυρώσουμε την προσέγγισή μας, υλοποιήσαμε τρεις μηχανισμούς που προστατεύουν τις εφαρμογές από επιθέσεις ένεσης κώδικα SQL, XPath και JavaScript αντίστοιχα. Επιπλέον, εξετάσαμε τους μηχανισμούς μας σε σχέση με την ακρίβεια τους. Κατα πόσο είναι αποτελεσματικοί δηλαδή στην ανίχνευση επιθέσεων. Ακόμη εξετάσαμε και την υπολογιστική επιβάρυνση τους σε σχέση με την εφαρμογή που προστατεύουν. Στις δοκιμές μας, δεν προέκυψαν ψευδή θετικά ή αρνητικά αποτελέσματα. Επίσης, σε όλες τις περιπτώσεις οι μηχανισμοί μπορούν να έχουν πρακτική αξία μιας και επιβαρύνουν ελάχιστα την προστατευόμενη εφαρμογή.
Code injection exploits a software vulnerability through which a malicious user can make an application run unauthorized code. Server applications frequently employ dynamic and domain-specific languages, which are used as vectors for the attack. We propose a generic approach that prevents the class of injection attacks involving these vectors: our scheme detects attacks by using location-specific signatures to validate code statements. The signatures are unique identifiers that represent specific characteristics of a statement's execution. We have applied our approach successfully to defend against attacks targeting SQL, XPath and JavaScript.

Subject :	Ασφάλεια διαδικτυακών εφαρμογών Επιθέσεις ένεσης κώδικα Αμυντικοί μηχανισμοί εκμάθησης Application security Code injection attacks Training security mechanisms

Date Available :	2018-04-30 16:52:37

Date Issued :	2014

Date Submitted :	2018-04-30 16:52:37

Access Rights :	Free access

Licence :

File: Mitropoulos_2014.pdf

Type: application/pdf

Login