Αξιολόγηση εργαλείων Penetration Testing για Web εφαρμογές

Abstract

Tο διαδίκτυο αποτελεί σήμερα απαραίτητο συστατικό της καθημερινής ζωής για τους περισσότερους ανθρώπους. H αξιοποίηση των υπηρεσιών του διαδικτύου για την υποστήριξη των οικονομικών και κοινωνικών δραστηριοτήτων γίνεται κυρίως μέσω των διαδικτυακών εφαρμογών, οι οποίες εξελίσσονται ραγδαία. Όμως, όσο εξαπλώνεται η χρήση των διαδικτυακών εφαρμογών, τόσο περισσότερο γίνονται στόχος επιθέσεων από κακόβουλους χρήστες, οι οποίο προσπαθούν να εκμεταλλευτούν τις αδυναμίες στον κώδικα και τις ρυθμίσεις για την επιτέλεση των σκοπών τους. Επομένως, η ασφάλεια των διαδικτυακών εφαρμογών αποτελεί μια κρίσιμη παράμετρο για την αποδοχή και αξιοποίησή τους. Μια διαδεδομένη πρακτική για την ενίσχυση της ασφάλειας των διαδικτυακών εφαρμογών είναι η πραγματοποίηση δοκιμών διείσδυσης από ειδικούς της ασφάλειας, με τη συγκατάθεση των ιδιοκτητών τους. Οι δοκιμές αποσκοπούν στο να εντοπισθούν τυχόν ευπάθειες και να διαπιστωθεί η ανάγκη λήψης μέτρων προστασίας. Για το σκοπό αυτό, έχουν αναπτυχθεί πολλά και διάφορα εργαλεία για δοκιμές διείσδυσης, τα οποία δεν παρέχουν την ίδια αποτελεσματικότητα και πληρότητα κάλυψης των αναγκών ελέγχου ασφάλειας των εφαρμογών ιστού.

Αντικείμενο της παρούσας διπλωματικής εργασίας αποτελεί η έρευνα, η καταγραφή, η ταξινόμηση και η αξιολόγηση των αντιπροσωπευτικών εργαλείων διείσδυσης, κυρίως στη βάση της εφαρμογής τους στο πλαίσιο μιας μεθοδολογίας επίθεσης. Στο πλαίσιο μιας τυποποιημένης διαδικασίας δοκιμών διείσδυσης, σύμφωνα με τη συγκεκριμένη μεθοδολογία επίθεσης, γίνεται προσδιορισμός των ποιοτικών κριτηρίων αξιολόγησης εργαλείων διείσδυσης σε κάθε στάδιο της μεθοδολογίας. Από την οργανωμένη εφαρμογή των εργαλείων δοκιμών διείσδυσης με μια ολοκληρωμένη δοκιμή διείσδυσης σε πραγματικό στόχο, προκύπτουν συμπεράσματα τα οποία αποτυπώνονται σε μια συνολική συγκριτική αξιολόγησή τους.