Επιθέσεις έγχυσης κώδικα που εκμεταλλεύονται εγγενείς ευπάθειες εφαρμογών διαδικτύου (Cross Site Scripting Attacks)

Μια κατηγορία ευπάθειας εφαρμογών του παγκόσμιου ιστού που τα τελευταία χρόνια έχει πάρει μεγάλες διαστάσεις, αλλά που ακόμα πολλοί από τους εμπλεκόμενους τόσο στο σχεδιασμό όσο και στην ανάπτυξή τους δεν δείχνουν να τη θεωρούν σημαντική ώστε να λάβουν μέτρα αντιμετώπισής της, είναι η κατηγορία ευπα...

Full description

Saved in:
Bibliographic Details
Main Author: Λαλιώτη, Βασιλική
Other Authors: Τζουραμάνης, Θεόδωρος
Language:Greek
Published: 2015
Subjects:
Online Access:https://vsmart.lib.aegean.gr/webopac/FullBB.csp?WebAction=ShowFullBB&EncodedRequest=*08*83*DC*93*19*CB*E1*B7*03*8E*FB*D9*E0*BB*A9*DA&Profile=Default&OpacLanguage=gre&NumberToRetrieve=50&StartValue=3&WebPageNr=1&SearchTerm1=2008%20.1.93163&SearchT1=&Index1=Keywordsbib&SearchMethod=Find_1&ItemNr=3
http://hdl.handle.net/11610/12639
Tags: Add Tag
No Tags, Be the first to tag this record!
_version_ 1828462555628044288
author Λαλιώτη, Βασιλική
author2 Τζουραμάνης, Θεόδωρος
author_facet Τζουραμάνης, Θεόδωρος
Λαλιώτη, Βασιλική
author_sort Λαλιώτη, Βασιλική
collection DSpace
description Μια κατηγορία ευπάθειας εφαρμογών του παγκόσμιου ιστού που τα τελευταία χρόνια έχει πάρει μεγάλες διαστάσεις, αλλά που ακόμα πολλοί από τους εμπλεκόμενους τόσο στο σχεδιασμό όσο και στην ανάπτυξή τους δεν δείχνουν να τη θεωρούν σημαντική ώστε να λάβουν μέτρα αντιμετώπισής της, είναι η κατηγορία ευπαθειών Cross Site Scripting γνωστή με το ακρωνύμιο XSS. Η συγκεκριμένη κατηγορία ευπάθειας δεν τυγχάνει συχνά της προσοχής που θα έπρεπε, είτε διότι οι υπεύθυνοι ανάπτυξης μιας εφαρμογής δεν κατανοούν επακριβώς τον τρόπο με τον οποίο η κατηγορία αυτή αποβαίνει τελικά εις βάρος της ίδιας της εφαρμογής, είτε γιατί θεωρούν ότι αυτή η κατηγορία ευπάθειας δεν είναι τόσο σημαντική, αφού αφήνει ανέπαφη την ίδια την εφαρμογή. Η ιδιομορφία που έχει η ύπαρξη της συγκεκριμένης κατηγορίας ευπάθειας εστιάζεται στο ότι πράγματι, η κακόβουλη εκμετάλλευση μιας ευπάθειας δεν αλλοιώνει την ίδια την εφαρμογή, στρέφεται όμως εναντίων των χρηστών της εφαρμογής, αποσκοπώντας συχνά στην υποκλοπή των στοιχείων της ενεργής συνεδρίας που ένας νόμιμος χρήστης έχει παραλάβει από την εφαρμογή με την οποία βρίσκεται σε αλληλεπίδραση. Με την εκμετάλλευση μιας ευπάθειας XSS που η εφαρμογή έχει, ένας νόμιμος χρήστης μπορεί να εκτεθεί σε κινδύνους αποκάλυψης των δεδομένων της ενεργής του συνεδρίας σε τρίτους, χωρίς ο ίδιος να «αφήσει» ποτέ την ιστοθέση της πραγματικής εφαρμογής. Ίσως χρειαστεί προκειμένου να ενεργοποιηθεί η επίθεση εναντίον του, που θα χρησιμοποιήσει την εγγενή XSS ευπάθεια της εφαρμογής που θέλει να χρησιμοποιήσει, να ακολουθήσει κάποιον υπερσύνδεσμο, πολλές φορές όμως δεν θα χρειαστεί να κάνει τίποτα παραπάνω από το να ζητήσει να δει μια σελίδα που η εφαρμογή παρέχει. Οι εφαρμογές που υποφέρουν από ευπάθειες XSS είναι πάρα πολλές και όσο η συγκεκριμένη κατηγορία δεν λαμβάνεται σοβαρά υπόψη κατά το στάδιο ανάπτυξης και ελέγχου μιας εφαρμογής, το πρόβλημα θα παραμένει. Ο OWASP στη λίστα με τους 10 πιο σημαντικούς κινδύνους που εξέδωσε το 2007 αναφέρει τις ευπάθειες XSS στην πρώτη θέση, από τέταρτη που τις είχε κατηγοριοποιήσει το 2004 [1]. Η παρούσα εργασία παρουσιάζει με τη βοήθεια μιας πρότυπης εφαρμογής ένα σύνολο από καλές πρακτικές που μπορούν να ελαχιστοποιήσουν τους κινδύνους που διατρέχει μια εφαρμογή από αυτή την κατηγορία ευπαθειών. Εστιάζεται στον τρόπο με τον οποίο δεδομένα που ο χρήστης παρέχει στην εφαρμογή ελέγχονται πριν τη χρήση τους από την εφαρμογή, καθώς επίσης και στον τρόπο με τον οποίο διαφορετικές σελίδες της εφαρμογής επικοινωνούν μεταξύ τους μεταφέροντας δεδομένα από τη μια σελίδα στην άλλη με ασφαλή τρόπο. Η υλοποίηση και η πειραματική μελέτη των όσων παρουσιάζονται στην παρούσα εργασία με τη βοήθεια μιας δοκιμαστικής εφαρμογής διαδικτύου έδειξε ότι ο συστηματικός έλεγχος των δεδομένων που ένας χρήστης εισάγει σε μια εφαρμογή είναι καθοριστική για την προστασία της εφαρμογής από προσπάθειες αλλαγής του προσχεδιασμένου και επιθυμητού τρόπου συμπεριφοράς της. Η υλοποίηση της συγκεκριμένης εφαρμογής έδειξε ότι είναι αποτελεσματική στην αναχαίτηση κακόβουλων προσπαθειών που στόχο έχουν την υποκλοπή των στοιχείων συνεδρίας ενός χρήστη. Ο έλεγχος των δεδομένων γίνεται με χρήση Regular Expressions τα οποία επιφέρουν λιγότερη επιβάρυνση στους χρόνους απόκρισης του συστήματος από ότι η χρήση εναλλακτικών τρόπων κωδικοποίησης των ελέγχων. Η πειραματική μελέτη της εφαρμογής έδειξε ότι οι χρόνοι απόκρισης της εφαρμογής επιβαρύνονται ελάχιστα από τη χρήση των συναρτήσεων που ελέγχουν τα δεδομένα του χρήστη. Τέλος, η θεωρητική σύγκριση της πρότυπης εφαρμογής σε σχέση με δύο γνωστές στο χώρο μεθόδους από εργασίες άλλων ερευνητών, έδειξε ότι η εφαρμογή ανταπεξέρχεται πολύ καλά σε επιθέσεις XSS παρέχοντας πολύ καλό επίπεδο ασφάλειας για τη συγκεκριμένη κατηγορία επιθέσεων.
id oai:hellanicus.lib.aegean.gr:11610-12639
institution Hellanicus
language Greek
publishDate 2015
record_format dspace
spelling oai:hellanicus.lib.aegean.gr:11610-126392024-10-18T08:11:10Z Επιθέσεις έγχυσης κώδικα που εκμεταλλεύονται εγγενείς ευπάθειες εφαρμογών διαδικτύου (Cross Site Scripting Attacks) Λαλιώτη, Βασιλική Τζουραμάνης, Θεόδωρος Παγκόσμιος ιστός World-wide web Ασφάλεια εφαρμογών διαδικτύου Web application security Ασφάλεια βάσεων δεδομένων Database security Ευπάθειες εφαρμογών διαδικτύου Cross Site Scripting vulnerabilities Επιθέσεις έγχυσης κώδικα Cross site Scripting Cross Site Scripting Attacks Έλεγχος δεδομένων χρήστη User input sanitization Δεδομένα συνεδρίας Session data Database security World Wide Web--Security measures Μια κατηγορία ευπάθειας εφαρμογών του παγκόσμιου ιστού που τα τελευταία χρόνια έχει πάρει μεγάλες διαστάσεις, αλλά που ακόμα πολλοί από τους εμπλεκόμενους τόσο στο σχεδιασμό όσο και στην ανάπτυξή τους δεν δείχνουν να τη θεωρούν σημαντική ώστε να λάβουν μέτρα αντιμετώπισής της, είναι η κατηγορία ευπαθειών Cross Site Scripting γνωστή με το ακρωνύμιο XSS. Η συγκεκριμένη κατηγορία ευπάθειας δεν τυγχάνει συχνά της προσοχής που θα έπρεπε, είτε διότι οι υπεύθυνοι ανάπτυξης μιας εφαρμογής δεν κατανοούν επακριβώς τον τρόπο με τον οποίο η κατηγορία αυτή αποβαίνει τελικά εις βάρος της ίδιας της εφαρμογής, είτε γιατί θεωρούν ότι αυτή η κατηγορία ευπάθειας δεν είναι τόσο σημαντική, αφού αφήνει ανέπαφη την ίδια την εφαρμογή. Η ιδιομορφία που έχει η ύπαρξη της συγκεκριμένης κατηγορίας ευπάθειας εστιάζεται στο ότι πράγματι, η κακόβουλη εκμετάλλευση μιας ευπάθειας δεν αλλοιώνει την ίδια την εφαρμογή, στρέφεται όμως εναντίων των χρηστών της εφαρμογής, αποσκοπώντας συχνά στην υποκλοπή των στοιχείων της ενεργής συνεδρίας που ένας νόμιμος χρήστης έχει παραλάβει από την εφαρμογή με την οποία βρίσκεται σε αλληλεπίδραση. Με την εκμετάλλευση μιας ευπάθειας XSS που η εφαρμογή έχει, ένας νόμιμος χρήστης μπορεί να εκτεθεί σε κινδύνους αποκάλυψης των δεδομένων της ενεργής του συνεδρίας σε τρίτους, χωρίς ο ίδιος να «αφήσει» ποτέ την ιστοθέση της πραγματικής εφαρμογής. Ίσως χρειαστεί προκειμένου να ενεργοποιηθεί η επίθεση εναντίον του, που θα χρησιμοποιήσει την εγγενή XSS ευπάθεια της εφαρμογής που θέλει να χρησιμοποιήσει, να ακολουθήσει κάποιον υπερσύνδεσμο, πολλές φορές όμως δεν θα χρειαστεί να κάνει τίποτα παραπάνω από το να ζητήσει να δει μια σελίδα που η εφαρμογή παρέχει. Οι εφαρμογές που υποφέρουν από ευπάθειες XSS είναι πάρα πολλές και όσο η συγκεκριμένη κατηγορία δεν λαμβάνεται σοβαρά υπόψη κατά το στάδιο ανάπτυξης και ελέγχου μιας εφαρμογής, το πρόβλημα θα παραμένει. Ο OWASP στη λίστα με τους 10 πιο σημαντικούς κινδύνους που εξέδωσε το 2007 αναφέρει τις ευπάθειες XSS στην πρώτη θέση, από τέταρτη που τις είχε κατηγοριοποιήσει το 2004 [1]. Η παρούσα εργασία παρουσιάζει με τη βοήθεια μιας πρότυπης εφαρμογής ένα σύνολο από καλές πρακτικές που μπορούν να ελαχιστοποιήσουν τους κινδύνους που διατρέχει μια εφαρμογή από αυτή την κατηγορία ευπαθειών. Εστιάζεται στον τρόπο με τον οποίο δεδομένα που ο χρήστης παρέχει στην εφαρμογή ελέγχονται πριν τη χρήση τους από την εφαρμογή, καθώς επίσης και στον τρόπο με τον οποίο διαφορετικές σελίδες της εφαρμογής επικοινωνούν μεταξύ τους μεταφέροντας δεδομένα από τη μια σελίδα στην άλλη με ασφαλή τρόπο. Η υλοποίηση και η πειραματική μελέτη των όσων παρουσιάζονται στην παρούσα εργασία με τη βοήθεια μιας δοκιμαστικής εφαρμογής διαδικτύου έδειξε ότι ο συστηματικός έλεγχος των δεδομένων που ένας χρήστης εισάγει σε μια εφαρμογή είναι καθοριστική για την προστασία της εφαρμογής από προσπάθειες αλλαγής του προσχεδιασμένου και επιθυμητού τρόπου συμπεριφοράς της. Η υλοποίηση της συγκεκριμένης εφαρμογής έδειξε ότι είναι αποτελεσματική στην αναχαίτηση κακόβουλων προσπαθειών που στόχο έχουν την υποκλοπή των στοιχείων συνεδρίας ενός χρήστη. Ο έλεγχος των δεδομένων γίνεται με χρήση Regular Expressions τα οποία επιφέρουν λιγότερη επιβάρυνση στους χρόνους απόκρισης του συστήματος από ότι η χρήση εναλλακτικών τρόπων κωδικοποίησης των ελέγχων. Η πειραματική μελέτη της εφαρμογής έδειξε ότι οι χρόνοι απόκρισης της εφαρμογής επιβαρύνονται ελάχιστα από τη χρήση των συναρτήσεων που ελέγχουν τα δεδομένα του χρήστη. Τέλος, η θεωρητική σύγκριση της πρότυπης εφαρμογής σε σχέση με δύο γνωστές στο χώρο μεθόδους από εργασίες άλλων ερευνητών, έδειξε ότι η εφαρμογή ανταπεξέρχεται πολύ καλά σε επιθέσεις XSS παρέχοντας πολύ καλό επίπεδο ασφάλειας για τη συγκεκριμένη κατηγορία επιθέσεων. 2015-11-18T10:40:09Z 2015-11-18T10:40:09Z 2008 https://vsmart.lib.aegean.gr/webopac/FullBB.csp?WebAction=ShowFullBB&EncodedRequest=*08*83*DC*93*19*CB*E1*B7*03*8E*FB*D9*E0*BB*A9*DA&Profile=Default&OpacLanguage=gre&NumberToRetrieve=50&StartValue=3&WebPageNr=1&SearchTerm1=2008%20.1.93163&SearchT1=&Index1=Keywordsbib&SearchMethod=Find_1&ItemNr=3 http://hdl.handle.net/11610/12639 el application/pdf Σάμος
spellingShingle Παγκόσμιος ιστός
World-wide web
Ασφάλεια εφαρμογών διαδικτύου
Web application security
Ασφάλεια βάσεων δεδομένων
Database security
Ευπάθειες εφαρμογών διαδικτύου
Cross Site Scripting vulnerabilities
Επιθέσεις έγχυσης κώδικα Cross site Scripting
Cross Site Scripting Attacks
Έλεγχος δεδομένων χρήστη
User input sanitization
Δεδομένα συνεδρίας
Session data
Database security
World Wide Web--Security measures
Λαλιώτη, Βασιλική
Επιθέσεις έγχυσης κώδικα που εκμεταλλεύονται εγγενείς ευπάθειες εφαρμογών διαδικτύου (Cross Site Scripting Attacks)
title Επιθέσεις έγχυσης κώδικα που εκμεταλλεύονται εγγενείς ευπάθειες εφαρμογών διαδικτύου (Cross Site Scripting Attacks)
title_full Επιθέσεις έγχυσης κώδικα που εκμεταλλεύονται εγγενείς ευπάθειες εφαρμογών διαδικτύου (Cross Site Scripting Attacks)
title_fullStr Επιθέσεις έγχυσης κώδικα που εκμεταλλεύονται εγγενείς ευπάθειες εφαρμογών διαδικτύου (Cross Site Scripting Attacks)
title_full_unstemmed Επιθέσεις έγχυσης κώδικα που εκμεταλλεύονται εγγενείς ευπάθειες εφαρμογών διαδικτύου (Cross Site Scripting Attacks)
title_short Επιθέσεις έγχυσης κώδικα που εκμεταλλεύονται εγγενείς ευπάθειες εφαρμογών διαδικτύου (Cross Site Scripting Attacks)
title_sort επιθέσεις έγχυσης κώδικα που εκμεταλλεύονται εγγενείς ευπάθειες εφαρμογών διαδικτύου cross site scripting attacks
topic Παγκόσμιος ιστός
World-wide web
Ασφάλεια εφαρμογών διαδικτύου
Web application security
Ασφάλεια βάσεων δεδομένων
Database security
Ευπάθειες εφαρμογών διαδικτύου
Cross Site Scripting vulnerabilities
Επιθέσεις έγχυσης κώδικα Cross site Scripting
Cross Site Scripting Attacks
Έλεγχος δεδομένων χρήστη
User input sanitization
Δεδομένα συνεδρίας
Session data
Database security
World Wide Web--Security measures
url https://vsmart.lib.aegean.gr/webopac/FullBB.csp?WebAction=ShowFullBB&EncodedRequest=*08*83*DC*93*19*CB*E1*B7*03*8E*FB*D9*E0*BB*A9*DA&Profile=Default&OpacLanguage=gre&NumberToRetrieve=50&StartValue=3&WebPageNr=1&SearchTerm1=2008%20.1.93163&SearchT1=&Index1=Keywordsbib&SearchMethod=Find_1&ItemNr=3
http://hdl.handle.net/11610/12639
work_keys_str_mv AT laliōtēbasilikē epitheseisenchysēskōdikapouekmetalleuontaiengeneiseupatheiesepharmogōndiadiktyoucrosssitescriptingattacks