Bezpečnosť webových aplikácií
|
Trenčianska Univerzita Alexandra Dubčeka v Trenčíne
Fakulta Mechatroniky |
|
| Autor: | Peter Magala |
| Pedagogický vedúci: | Ing. Juraj Ďuďák |
| Študijný odbor: | Mechatronika
|
| Akademický rok | 2009/2010
|
| Abstrakt
Práca prezentuje problematiku zabezpečenia webových aplikácií proti rôznym útokom. Objektom mojej práce sú zraniteľnosti webových aplikácií. V práci sú opísané metodiky penetračného testovania. Popísal som návrhy na bezpečnostné opatrenia proti možným útokom. Tieto bezpečnostné opatrenia navrhujem použiť v záujme bezpečnosti údajov prenášaných pomocou webových aplikácií. |
| Abstract
The work presents issues of security of web applications against various attacks. The object of my work is the vulnerabilities of Web applications. The paper describes the methodics of penetration testing. I described the proposals for security measures against possible attacks. I propose to use these security measures for the safety of data transmitted by web applications. |
Úvod
Rozvojom informačných technológií narastá využitie počítačov vo všetkých sférach života a pripojenie k internetu sa považuje takmer za samozrejmosť. Avšak so stúpajúcim množstvom informácií, narastá aj množstvo útočníkov snažiacich sa tieto informácie získať a tým narastá zvyšovanie bezpečnosti informačných technológií (IT). Jedným z hľadísk bezpečnosti IT je sieťová bezpečnosť, zaoberajúca sa ochranou pred útokmi prichádzajúcimi cez počítačovú sieť, buď z lokálneho prostredia alebo z internetu.
V tejto práci sú popísané metodiky testovania bezpečnosti sietí a metódy útokov. Tieto metodiky sa využívajú pre získanie certifikačných osvedčení o zabezpečení webových aplikácii pre organizácie. Jedna z techník analýzy sieťovej bezpečnosti je penetračné testovanie. Princíp spočíva v simulácii reálneho útoku na vyhodnocovaný systém, čím sú odhaľované zraniteľnosti systému, ktoré by mohol využiť skutočný útočník. Tento test môže byt’ vykonaný z internetu alebo z vnútornej siete organizácie pre ktorú je vykonávaný, podľa toho sa testy rozdeľujú na interné a externé. Cieľom tejto práce je popísať rôzne typy reálnych útokov na webové aplikácie a navrhnúť opatrenia proti prelomeniu bezpečnosti webového sídla.
Rozdelenie typov testovacích útokov
Penetračné testovanie rozdeľujeme na základe množstva informácií o systéme na tieto typy:
- Black Box - je test bez predchádzajúcej znalosti infraštruktúry testovanej organizácie. Jedná sa tak o reálnejšiu formu útoku, pretože informácie o teste má len najvyššie vedenie danej organizácie a test tak vyvolá aj reakciu bezpečnostných pracovníkov, podobne ako v prípade skutočného útoku. Ako informácia o cieli je v tomto prípade k dispozícii napríklad názov organizácie a vyhodnotenie možnosti získať potrebné poznatky o sieti a systéme je už súčasťou samotného testu.
- White Box - predstavuje test s úplnou znalosťou vyhodnocovaného systému. V tomto prípade sú pracovníkom testovacej firmy k dispozícii informácie o infraštruktúre organizácie, ako napríklad rozsah IP adries organizácie, topológia siete, použitý operačný systém a iné. Týmito znalosťami obvykle disponujú len osoby s určitou spojitosťou s testovanou organizáciou, preto je white box test vhodný na zistenie možnosti útoku pochádzajúceho z prostredia organizácie, napríklad od zamestnancov.
- Gray Box - je test, pri ktorom sú pre testerov odhalené len niektoré informácie o infraštruktúre. Jedná sa tak o zmiešaný test testov Black Box a White Box.
