Ανίχνευση και αντιμετώπιση θεμάτων ασφάλειας web εφαρμογών.

Abstract

Σκοπός αυτής της πτυχιακής εργασίας είναι η ανίχνευση και μελέτη τρωτών σημείων web εφαρμογών που τρέχουν στο διαδίκτυο καθώς και η θωράκιση τους από κακόβουλες επιθέσεις. Θα δούμε την ανατομία ενός αριθμού από επιθέσεις, τους κινδύνους που κρύβονται και με ποιο τρόπο μπορούμε να τις αποτρέψουμε. Στα πλαίσια της πτυχιακής εργασίας θα παρουσιαστούν και θα εκτελεστούν παραδείγματα κώδικα που είναι πιθανόν να δεχτούν επίθεση και ποια είναι τα απαραίτητα βήματα που πρέπει να ακολουθήσουμε για να προστατεύσουμε τις εφαρμογές μας. Συγκεκριμένα η πτυχιακή αυτή θα ασχοληθεί με τα παρακάτω: • Τεχνολογίες internet και ασφάλεια (http, proxies, urls, headers, forms). • Ασφάλεια στην πλευρά του χρήστη (cross-site scripting (XSS), cross-site request forgery (CSRF), cookies κλπ). • Επιθέσεις αυθεντικοποίησης (authentication attacks). • Επιθέσεις συνόδων (session attacks). • Επιθέσεις ελέγχου πρόσβασης (access controls attacks). • Επιθέσεις SQL (sql injections). • Επιθέσεις στη λογική των εφαρμογών (application login attacks). • Επιθέσεις σε άλλους χρήστες. • Επιθέσεις στον εξυπηρετητή ιστού (apache web server). • Εύρεση κενών ασφαλείας σε πηγαίο κώδικα PHP. • Μελέτη βοηθητικών εργαλείων ασφάλειας για δικτυακές εφαρμογές.

The aim of this thesis is to detect and study vulnerabilities of web applications running on the internet as well as shielding them from malicious attacks . We will see the anatomy of a number of attacks, the dangers and how we can prevent it. As part of the thesis will be presented and run code examples that are likely to be attacked and what are the necessary steps you need to follow to protect our applications . Specifically, the thesis will deal with the following : • internet technology and security (http, proxies, urls, headers, forms). • Secure user-side (cross-site scripting (XSS), cross-site request forgery (CSRF), cookies , etc.). • Attacks authentication (authentication attacks). • Attacks sessions (session attacks). • Attacks access control (access controls attacks). • Attacks SQL (sql injections). • Attacks on the logic of applications (application login attacks). • Attacks on other users. • Attacks in a web server (apache web server). • Finding security vulnerabilities in source code PHP. • Study auxiliary security tools for web applications .