PYXIDA Institutional Repository
and Digital Library
 Home
Collections :

Title :Ανάπτυξη μεθόδου εύρεσης λογικών αδυναμιών στις δοκιμές διείσδυσης
Creator :Στεργιόπουλος, Γεώργιος
Contributor :Γκρίτζαλης, Δημήτριος (Επιβλέπων καθηγητής)
Τσούμας, Βασίλειος (Επιβλέπων καθηγητής)
Οικονομικό Πανεπιστήμιο Αθηνών, Τμήμα Πληροφορικής (Degree granting institution)
Publisher :Οικονομικό Πανεπιστήμιο Αθηνών
Type :Text
Extent :102σ.
Language :el
Abstract :H παρούσα διπλωματική αποτελείται από δύο μέρη. Το πρώτο μέρος είναι μια θεωρητική ανάλυση του ερευνητικού χώρου των αδυναμιών ασφαλείας και των τεχνικών εντοπισμού τους, καθώς επίσης και μια παρουσίαση διάφορων σημαντικών ερευνών γύρω από τον εντοπισμό λογικών αδυναμιών και γενικότερων αδυναμιών στα διάφορα είδη εφαρμογών. Το δεύτερο μέρος είναι μία προσπάθεια ανάπτυξης ενός εργαλείου αυτόματου εντοπισμού λογικών αδυναμιών σε εφαρμογές με γραφική διεπαφή, με το όνομα LogGIC. Το εργαλείο αναπτύχθηκε στη γλώσσα προγραμματισμού Java. Η μέθοδος που αναπτύχθηκε δεν αποτελεί μια ακόμα υλοποίηση συνηθισμένων δοκιμών διείσδυσης που ελέγχουν τεχνικές αδυναμίες (όπως έγχυση εντολών SQL, υπερχείλιση πινάκων κ.τ.λ.) αλλά στοχεύει τα λάθη λογικής στον προγραμματισμό των λειτουργιών των εφαρμογών. Με τον όρο λογικό λάθος ή λογική αδυναμία εννοούμε έναν συγκεκριμένο, διαθέσιμο και επιτρεπτό συνδυασμό δράσεων ενός χρήστη πάνω σε μία εφαρμογή, ο οποίος οδηγεί της λειτουργίες της σε ανεπιθύμητα αποτελέσματα. Οι λογικές αδυναμίες είναι αποτέλεσμα λανθασμένου προγραμματισμού της λογικής διαδικασίας μιας λειτουργίας –και, γενικότερα, ενός προγράμματος- από τον εκπονητή που ανέλαβε να την υλοποιήσει. Τέτοιες αδυναμίες είναι επιβλαβείς για την ασφάλεια του λογισμικού και συχνά μπορούν να χρησιμοποιηθούν από κακόβουλους χρήστες, προκειμένου αυτοί να αλλοιώσουν τη προβλεπόμενη λειτουργία μιας εφαρμογής ή προκειμένου να αποκτήσουν πρόσβαση σε πληροφορίες και λειτουργίες τις οποίες δεν θα έπρεπε κανονικά να μπορούν να προσπελάσουν. Ο εντοπισμός και η αξιολόγηση λογικών αδυναμιών μέσα σε μια εφαρμογή αποτελεί μια επίπονη και χρονοβόρα διαδικασία, καθώς ο αναλυτής της εκάστοτε εφαρμογής πρέπει να έχει μακροχρόνια εμπειρία και μεγάλο εύρος γνώσεων γύρω από τα θέματα Ασφάλειας των υπολογιστικών συστημάτων. Η παρούσα διπλωματική αποτελεί μια προσπάθεια αυτοματοποίησης της διαδικασίας εύρεσης λογικών αδυναμιών σε εφαρμογές με γραφική διεπαφή. Προτείνεται και υλοποιείται μια μέθοδος εύρεσης λογικών αδυναμιών η οποία συνδυάζει τρεις υπάρχουσες τεχνικές εντοπισμού αδυναμιών: Η μέθοδος συνδυάζει διαδικασίες δυναμικής και στατικής ανάλυσης των εφαρμογών υπό έλεγχο, με μια ευριστική μέθοδο εντοπισμού κρίσιμων σημείων στο κώδικα -από πλευράς ασφάλειας- στα οποία γίνεται λήψη αποφάσεων, καθώς και με μία μέθοδο εντοπισμού αδυναμιών που στηρίζεται στον έλεγχο των διανυσμάτων εισόδου δεδομένων στην εφαρμογή. Τα αποτελέσματα των τριών ανωτέρω διαδικασιών τροφοδοτούνται σε ένα σύστημα Ασαφούς Λογικής προκειμένου να προσδιοριστεί το επίπεδο κρισιμότητας των πιθανών λογικών αδυναμιών που εντοπίστηκαν. Η πρώτη μέθοδος εύρεσης λογικών αδυναμιών η οποία στηρίζεται στην δυναμική και στατική ανάλυση, αποτελεί μια υλοποίηση που βασίστηκε στην έρευνα της ομάδας ασφάλειας του Πανεπιστημίου της Καλιφόρνια [2].Το εργαλείο που αναπτύχθηκε στη παρούσα διπλωματική είναι σχεδιασμένο να παρέχει χρέη συμβούλου στους αναλυτές εφαρμογών. Εντοπίζει, αξιολογεί τα αποτελέσματα και, στη συνέχεια, εφιστά την προσοχή στα σημεία του πηγαίου κώδικα των εφαρμογών τα οποία ενδέχεται να κρύβουν επικίνδυνες λογικές αδυναμίες, παραθέτοντάς μια μαθηματική αξιολόγηση της επικινδυνότητας της εκάστοτε λογικής αδυναμίας. H αξιολόγηση υπολογίζεται συνδυάζοντας τη συνολικής Δριμύτητας (final severity) μιας αδυναμίας (η Δριμύτητα υπολογίζεται με βάση τη θέση και τον ρόλο του κώδικα που κρύβει την αδυναμία μέσα στο πηγαίο κώδικα της εφαρμογής), με το μέγεθος της ίδιας της αδυναμίας (κατά πόσον σίγουρο είναι ότι υπάρχει αδυναμία και είναι προσπελάσιμη. Η μεταβλητή υπολογίζεται με βάση τα αποτελέσματα της ευριστικής μεθόδου ανάλυσης καθώς επίσης και με βάση τα αποτελέσματα της Δυναμικής και Στατικής ανάλυσης).
Διπλωματική εργασία - Οικονομικό Πανεπιστήμιο Αθηνών. ΜΠΣ στα Πληροφοριακά Συστήματα
Περιλαμβάνει περίληψη στα Αγγλικά
Subject :Πληροφορική
Ασφάλεια
Λογισμικό
Λειτουργικό σύστημα
Date Issued :10-2010

File: Stergiopoulos_2010.pdf

Type: application/pdf