Συλλογές
Τίτλος Secure software development technologies
Εναλλακτικός τίτλος Τεχνολογίες ανάπτυξης ασφαλούς λογισμικού
Δημιουργός Mitropoulos, Dimitrios, Μητρόπουλος, Δημήτριος
Συντελεστής Athens University of Economics and Business, Department of Management Science and Technology
Βλάχος, Βασίλειος
Ιωαννίδης, Σωτήρης
Ξενάκης, Χρήστος
Γκρίτζαλης, Στέφανος
Κάτσικας, Σωκράτης
Σπινέλλης, Διομήδης
Κερομύτης, Άγγελος
Τύπος Text
Φυσική περιγραφή 159p.
Γλώσσα en
Αναγνωριστικό http://www.pyxida.aueb.gr/index.php?op=view_object&object_id=6031
Περίληψη Code injection exploits a software vulnerability through which a malicious user can make an application run unauthorized code. Server applications frequently employ dynamic and domain-specific languages, which are used as vectors for the attack. We propose a generic approach that prevents the class of injection attacks involving these vectors: our scheme detects attacks by using location-specific signatures to validate code statements. The signatures are unique identifiers that represent specific characteristics of a statement's execution. We have applied our approach successfully to defend against attacks targeting SQL, XPath and JavaScript.
Οι επιθέσεις ένεσης κώδικα είναι από τις πλεον διαδεδομένες και επικίνδυνες επιθέσεις στο διαδίκτυο. Στο πλαίσιο της διατριβής αυτής αναπτύξαμε μια δυναμική μέθοδος ανίχνευσης επιθέσεων τέτοιου τύπου. Η μέθοδος αυτή χρησιμοποιεί μοναδικά αναγνωριστικά («υπογραφές»). Τα αναγνωριστικά αυτά συνδυάζουν σταθερά στοιχεία ευάλωτoυ κώδικα με στοιχεία που προέρχονται από το περιβάλλον εκτέλεσης της εφαρμογής. Η μέθοδός μας δουλεύει σε δύο φάσεις: «εκμάθησης» και «παραγωγής». Κατά τη διάρκεια της εκμάθησης του συστήματος οι βιβλιοθήκες εφαρμόζουν μια κρυπτογραφική συνάρτηση κατακερματισμού στα στοιχεία που συνδυάζονται. Το αποτέλεσμα που είναι η «υπογραφή», αποθηκεύεται σε έναν πίνακα. Όταν η προσέγγιση βρίσκεται στην φάση της παραγωγής, τότε τα βήματα που ακολουθούνται είναι ίδια μέχρι να φτιαχτεί και πάλι μια υπογραφή. Εαν αυτή υπάρχει στον πίνακα που δημιουργήθηκε κατά την φάση της παραγωγής τότε ο κώδικας εκτελείται κανονικά. Εαν δεν υπάρχει τότε πιθανότατα μια επίθεση ένεσης λαμβάνει χώρα. Για να επικυρώσουμε την προσέγγισή μας, υλοποιήσαμε τρεις μηχανισμούς που προστατεύουν τις εφαρμογές από επιθέσεις ένεσης κώδικα SQL, XPath και JavaScript αντίστοιχα. Επιπλέον, εξετάσαμε τους μηχανισμούς μας σε σχέση με την ακρίβεια τους. Κατα πόσο είναι αποτελεσματικοί δηλαδή στην ανίχνευση επιθέσεων. Ακόμη εξετάσαμε και την υπολογιστική επιβάρυνση τους σε σχέση με την εφαρμογή που προστατεύουν. Στις δοκιμές μας, δεν προέκυψαν ψευδή θετικά ή αρνητικά αποτελέσματα. Επίσης, σε όλες τις περιπτώσεις οι μηχανισμοί μπορούν να έχουν πρακτική αξία μιας και επιβαρύνουν ελάχιστα την προστατευόμενη εφαρμογή.
Λέξη κλειδί Code injection attacks
Training security mechanisms
Ασφάλεια διαδικτυακών εφαρμογών
Επιθέσεις ένεσης κώδικα
Αμυντικοί μηχανισμοί εκμάθησης
Application security
Διαθέσιμο από 2018-04-30 16:52:37
Ημερομηνία έκδοσης 2014
Ημερομηνία κατάθεσης 2018-04-30 16:52:37
Δικαιώματα χρήσης Free access
Άδεια χρήσης https://creativecommons.org/licenses/by/4.0/