Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Ιονίων Νήσων Ασφάλεια Πληροφοριακών Συστημάτων Ενότητα 9: Code injections Θεματική Ενότητα: Επιθέσεις Το περιεχόμενο του μαθήματος διατίθεται με άδεια Creative Commons εκτός και αν αναφέρεται διαφορετικά Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους.
ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΙΟΝΙΩΝ ΝΗΣΩΝ ΠΑΡΑΡΤΗΜΑ ΛΕΥΚΑΔΑΣ ΤΜΗΜΑ ΕΦΑΡΜΟΓΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΣΤΗ ΔΙΟΙΚΗΣΗ ΚΑΙ ΣΤΗΝ ΟΙΚΟΝΟΜΙΑ Χ. Μπουκουβάλας, Ν. Λυμπέρης (Παρουσίαση Πτυχιακής Εργασίας) Επιβλέπων Καθηγητής: Αθ. Κακαρούντας
Στόχος της πτυχιακής εργασίας Προβλήματα ασφάλειας στις Διαδικτυακές εφαρμογές Επίθεση Έγχυσης Κώδικα (code injection) Αντιμετώπιση Συμπεράσματα Επίδειξη επίθεσης Λευκάδα, 23/11/2011 3
Μελέτη των κινδύνων στις Διαδικτυακές εφαρμογές λόγω ελλιπούς ασφάλειας Δημιουργία οδηγού για την επίθεση έγχυσης κώδικα (code injection) Υποστήριξη μαθήματος «Ασφάλεια Πληροφοριακών Συστημάτων» Λευκάδα, 23/11/2011 4
Στα πλαίσια του κύκλου ανάπτυξης μιας διαδικτυακής εφαρμογής, υπάρχουν κίνδυνοι μη τήρησης κανόνων ασφαλείας το μοντέλο του Κύκλου Ζωής Ανάπτυξης Συστήματος (System Development Life Cycle - SDLC) Λευκάδα, 23/11/2011 5
Το Open Web Application Security Project - OWASP δημοσιεύει ετησίως μια έκθεση που αποτυπώνει τους δέκα σημαντικότερους κινδύνους που σχετίζονται με τη χρήση διαδικτυακών εφαρμογών Λευκάδα, 23/11/2011 6
1. Έγχυση (Injection) 2. Cross-Site Scripting (XSS) 3. Broken Authentication and Session Management 4. Ανασφαλής Απευθείας Αναφορά σε Αντικείμενα (Insecure Direct Object References) 5. Πλαστογράφηση αίτησης μεταξύ θέσεων (Cross-Site Request Forgery - CSRF) 6. Λανθασμένες Ρυθμίσεις Ασφάλειας (Security Misconfiguration) 7. Ανασφαλής Κρυπτογραφική Αποθήκευση (Insecure Cryptographic Storage) 8. Αποτυχία Περιορισμού της Πρόσβασης URL (Failure to Restrict URL Access) 9. Ανεπαρκής Προστασία Επιπέδου Μεταφοράς (Insufficient Transport Layer Protection) 10. Μη Επαληθευμένες Αναδρομολογήσεις και Προωθήσεις (Unvalidated Redirects and Forwards) Λευκάδα, 23/11/2011 7
Δοκιμή περάσματος κώδικα ως απλού κειμένου ή ορίσματος στην εφαρμογή Λευκάδα, 23/11/2011 8
Οι τρεις βασικές επιθέσεις που χρησιμοποιούνται ως έγχυση κώδικα είναι οι: 1) SQL Injection 2) Cross-site scripting (XSS) 3) Κακόβουλο λογισμικό (malware) Λευκάδα, 23/11/2011 9
Πέρασμα ορισμάτων στη διασυνδεδεμένη βάση δεδομένων userid Name LastName Login Password 1 Nikos Lyberis nlyberis 12345678 2 Christos Boukouvalas cboukouv qwertyui 3 Thanos Kakarountas tkakarou 1qaz2wsx SELECT LastName FROM users WHERE UserID = 1; LastName -------------- Lyberis Λευκάδα, 23/11/2011 10
Legacy Λογική Εφαρμογής Thin Client Ιστοσε λίδα Database Server Διακομιστής Εφαρμογής Επίπεδο Παρουσίασης Διαδικτυακές Εφαρμογές Η δομή του Λογισμικό ως Υπηρεσία (SaaS Software as a Service) όπου με γκρίζο απεικονίζονται ως τα σημεία που παρουσιάζουν τους σημαντικότερους κινδύνους Λευκάδα, 23/11/2011 11
Η κύρια αρχή είναι ο έλεγχος των εισόδων και των εξόδων της εφαρμογής Εξυγίανση της εισόδου με αφαίρεση συνόλου χαρακτήρων ή αυστηρή επίτρεψη από συγκεκριμένο σύνολο χαρακτήρων Εξυγίανση της εξόδου με χρήση προτύπου και περιορισμό των χαρακτήρων και τύπων που εξάγονται Λευκάδα, 23/11/2011 12
Η επίθεση έγχυσης κώδικα αποτελεί την πιο σοβαρή επίθεση σε διαδικτυακές εφαρμογές, όπως εξάλλου καταγράφεται διεθνώς Στην παρούσα Πτυχιακή Εργασία, μελετήθηκε ο μηχανισμός της επίθεσης και τα αίτια που επιτρέπουν να έχει επιτυχία Πραγματοποιήθηκε μελέτη περίπτωσης, υλοποιώντας μια υποδειγματική επίθεση σε ένα υποψήφιο στόχο Λευκάδα, 23/11/2011 13
Παρουσιαστήκαν τα αντίμετρα στην επίθεση με έγχυση κώδικα Ολοκληρώθηκε οδηγός επίθεσης αντιμετώπισης τέτοιων επιθέσεων, για την υποστήριξη του μαθήματος «Ασφάλεια Πληροφοριακών Συστημάτων» Αποκτήθηκαν γνώσεις σχετικά με την ασφάλεια στις διαδικτυακές εφαρμογές και γενικότερα τα πληροφοριακά συστήματα Λευκάδα, 23/11/2011 14
Σημείωμα Αδειοδότησης Το παρόν υλικό διατίθεται με τους όρους της άδειας χρήσης Creative Commons Αναφορά, Μη Εμπορική Χρήση Παρόμοια Διανομή 4.0 [1] ή μεταγενέστερη, Διεθνής Έκδοση. Εξαιρούνται τα αυτοτελή έργα τρίτων π.χ. φωτογραφίες, διαγράμματα κ.λ.π., τα οποία εμπεριέχονται σε αυτό. Οι όροι χρήσης των έργων τρίτων επεξηγούνται στη διαφάνεια «Επεξήγηση όρων χρήσης έργων τρίτων». Τα έργα για τα οποία έχει ζητηθεί άδεια αναφέρονται στο «Σημείωμα Χρήσης Έργων Τρίτων». [1] http://creativecommons.org/licenses/από-nc-sa/4.0/ Ως Μη Εμπορική ορίζεται η χρήση: που δεν περιλαμβάνει άμεσο ή έμμεσο οικονομικό όφελος από την χρήση του έργου, για το διανομέα του έργου και αδειοδόχο που δεν περιλαμβάνει οικονομική συναλλαγή ως προϋπόθεση για τη χρήση ή πρόσβαση στο έργο που δεν προσπορίζει στο διανομέα του έργου και αδειοδόχο έμμεσο οικονομικό όφελος (π.χ. διαφημίσεις) από την προβολή του έργου σε διαδικτυακό τόπο Ο δικαιούχος μπορεί να παρέχει στον αδειοδόχο ξεχωριστή άδεια να χρησιμοποιεί το έργο για εμπορική χρήση, εφόσον αυτό του ζητηθεί.
Επεξήγηση όρων χρήσης έργων τρίτων διαθέσιμο με άδεια CC-BY διαθέσιμο με άδεια CC-BY-SA διαθέσιμο με άδεια CC-BY-ND διαθέσιμο με άδεια CC-BY-NC διαθέσιμο με άδεια CC-BY-NC-SA διαθέσιμο με άδεια CC-BY-NC-ND διαθέσιμο με άδεια CC0 Public Domain διαθέσιμο ως κοινό κτήμα χωρίς σήμανση Δεν επιτρέπεται η επαναχρησιμοποίηση του έργου, παρά μόνο εάν ζητηθεί εκ νέου άδεια από το δημιουργό. Επιτρέπεται η επαναχρησιμοποίηση του έργου και η δημιουργία παραγώγων αυτού με απλή αναφορά του δημιουργού. Επιτρέπεται η επαναχρησιμοποίηση του έργου με αναφορά του δημιουργού, και διάθεση του έργου ή του παράγωγου αυτού με την ίδια άδεια. Επιτρέπεται η επαναχρησιμοποίηση του έργου με αναφορά του δημιουργού. Δεν επιτρέπεται η δημιουργία παραγώγων του έργου. Επιτρέπεται η επαναχρησιμοποίηση του έργου με αναφορά του δημιουργού. Δεν επιτρέπεται η εμπορική χρήση του έργου. Επιτρέπεται η επαναχρησιμοποίηση του έργου με αναφορά του δημιουργού και διάθεση του έργου ή του παράγωγου αυτού με την ίδια άδεια. Δεν επιτρέπεται η εμπορική χρήση του έργου. Επιτρέπεται η επαναχρησιμοποίηση του έργου με αναφορά του δημιουργού. Δεν επιτρέπεται η εμπορική χρήση του έργου και η δημιουργία παραγώγων του. Επιτρέπεται η επαναχρησιμοποίηση του έργου, η δημιουργία παραγώγων αυτού και η εμπορική του χρήση, χωρίς αναφορά του δημιουργού. Επιτρέπεται η επαναχρησιμοποίηση του έργου, η δημιουργία παραγώγων αυτού και η εμπορική του χρήση, χωρίς αναφορά του δημιουργού. Συνήθως δεν επιτρέπεται η επαναχρησιμοποίηση του έργου.
Διατήρηση Σημειωμάτων Οποιαδήποτε αναπαραγωγή ή διασκευή του υλικού θα πρέπει να συμπεριλαμβάνει: το Σημείωμα Αναφοράς το Σημείωμα Αδειοδότησης τη δήλωση Διατήρησης Σημειωμάτων το Σημείωμα Χρήσης Έργων Τρίτων (εφόσον υπάρχει) μαζί με τους συνοδευόμενους υπερσυνδέσμους.
Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Ιονίων Νήσων» έχει χρηματοδοτήσει μόνο την αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους.