Rizik, sigurnost i zastita Web 2.0 aplikacija

Nova tema  Odgovori 
Podelite temu sa drugarima: ZARADITE PRODAJOM SVOJIH RADOVA
 
Ocena teme:
  • 0 Glasova - 0 Prosečno
  • 1
  • 2
  • 3
  • 4
  • 5
 
Autor Poruka
Vesnica Nije na vezi
Posting Freak
*****

Poruka: 2,567
Pridružen: May 2010
Poruka: #1
Rizik, sigurnost i zastita Web 2.0 aplikacija
Maturski, seminarski i diplomski radovi iz informatike.

Jedan od glavnih delova Web 2.0 aplikacije jesu AJAX mehanizmi i mnoštvo JavaScript koda. Kroz evoluciju Web-a, došlo je i do stvaranja novih rasa crva i virusa koji se njime šire. Portali kao Google, NetFlix, Yahoo i MySpace koji obilno koriste AJAX, bili su žrtve novih vrsta napada.

2 SIGURNOST WEB APLIKACIJA

AJAX nema svojstvenih sigurnosnih slabosti, međutim, prihvaćanje AJAX tehnologije u Web aplikacijama, bitno mijenja pristup razvoju aplikacije. Serijalizacija podataka i obekata je u prošlosti bila teško izvediva kroz umetanje srednjeg sloja koji je vršio obradu. Danas AJAX može koristiti XML, HTML, JavaScript polja, JSON i JavaScript obekate bez pozivanja funkcija srednjeg sloja, što je dovelo do izmjene bitno različitih tipova podataka između klijenta i servera. Informacije koje pruža server se dinamički umeću u trenutni DOM kontekst klijenta. Ključni faktori koji utječu na ranjivosti AJAX aplikacija su:
●Višestruke razbacane krajnje tačke i skriveni pozivi – Jedna od glavnih razlika između Web 2.0 i tradicionalnih Web aplikacija je mehanizam pristupa informacijama. Aplikacije imaju više krajnjih tačaka za pristup AJAX-om u usporedbi s tradicionalnim aplikacijama. Potencijalni AJAX pozivi su razbacani kroz celu Web stranicu te ih je moguće inicirati pripadajućim događajima. Ova raširenost AJAX poziva otežava razvoj, ali Takođe uvodi nemaran način programiranja obzirom da su pozivi skriveni ili ne tako očiti;
●Zbunjujuća provera – Jedan od važnih faktora svake Web aplikacije je provera ulaza i izlaza. Web 2.0 aplikacije koriste zaobilaženje politike istog izvora, feed i mashup sadržaje. U mnogo slučajeva, pretpostavlja se da je druga strana implementirala proveru, što dovodi do zablude u kojoj niti jedna strana ne implementira ispravnu proveru;
●Nepoverljivi izvori informacija – Web 2.0 aplikacije dohvaćaju informacije iz različitih nepoverljivih izvora kao što su feed-ovi, blogovi i rezultati pretraživača. Taj sadržaj gotovo nikada nije proveren pre nego je poslužen pregledaču krajnjeg korisnika, što dovodi do eksploatacije zaobilaženjem politike istog izvora. Takođe, moguće je u pregledač učitati JavaScript kod koji zahteva od pregledača da izvrši pozive putem zaobilaženja politike istog izvora i time otvori sigurnosne rupe. Takav postupak može biti idealan za širenje virusa i crva;
●Serijalizacija podataka – Preglednici mogu vršiti AJAX pozive i serijalizaciju podataka. Pregledač može dohvatiti JavaScript polja i obekate, XML zapise, HTML blokove ili JSON zapise. Ukoliko bilo koji od tih podataka može biti presretnut i izmijenjen, pregledaču može biti podvaljeno izvršavanje zloćudne skripte. Serijalizacija podataka s nepoverljivim informacijama može biti smrtonosna kombinacija za sigurnost krajnjeg korisnika;
●Izgradnja i izvođenje dinamičkih skripti – AJAX otvara pozadinski kanal i dohvaća informacije od servera te ih prosljeđuje u DOM. Da bi to bilo ostvarivo, jedan od zahteva je mogućnost dinamičkog izvođenja JavaScript skripti da bi se osvježilo stanje DOM stabla ili memorije pregledača. U praksi se to ostvaruje pozivanjem prilagođenih funkcija ili korištenjem eval() funkcije. PoSledice loše provere sadržaja ili vršenja poziva prema nesigurnim izvorima podataka mogu varirati od krađe podataka o sednici pa do izvršavanja zloćudnog koda na klijentskoj strani.

Web 2.0 aplikacije mogu postati ranjive pojavom gornjih pogrešaka, što može dovesti do eksploatacije ranjivosti i na serveru i na klijentu .

2.1 OWASP Top 10 ranjivosti Web aplikacija i metode zaštite

OWASP (engl. Open Web Application Security Project) je organizacija posvećena pronalasku i rešavanju uzroka nesigurnosti aplikacija.
OWASP Top 10 je dokument značajan za sigurnost Web aplikacija. OWASP Top 10 predstavlja konsenzus o tome koji su najkritičniji sigurnosni propisti u Web aplikacijama. Članovi projekta koji održavaju OWASP Top 10 listu su stručnjaci na području sigurnosti iz celog sveta, koji su podelili svoju stručnost s kolegama da bi stvorili ovu listu. Širenjem svijesti o propistima koje ovaj dokument predstavlja, te prihvaćanjem preporuka koje su dane u njemu, razvojni timovi mogu učiniti najkvalitetniji prvi korak prema promeni kulture razvoja aplikacija da bi se stvarao siguran kod.

1 UVOD 2
2 SIGURNOST WEB APLIKACIJA 2
2.1 OWASP Top 10 ranjivosti Web aplikacija i metode zaštite 4
2.1.1 Izvršavanje napadačkog koda 5
2.2 Propisti ubacivanja 9
2.3 Izvođenje zlonamernih datoteka 10
2.4 Nesigurna izravna referenca na obekat 12
2.5 Falsifikovanje zahteva 14
2.5.1 Ispuštanje informacija i neispravno rukovanje greškama 20
2.5.2 Razbijena autentifikacija i kontrola sednice 21
2.5.3 Nesigurna kriptografska čuvanja 22
2.5.4 Nesigurne komunikacije 23
2.5.5 Neuspešna zaštita pristupa URL-u 24
2.6 Tipične ranjivosti AJAX aplikacija 25
2.6.1 Nepravilna serijalizacija JavaScript obekata 25
2.6.2 Ubacivanje JSON parova 26
2.6.3 Zaraza JavaScript polja 26
Ispis 3.30. Primer JavaScript polja ranjivog na trovanje 26
2.6.4 Manipulacija XML toka 26
2.6.5 Ubacivanje skripte u DOM 27
2.6.6 Zaobilaženje politike istog izvora i povratna funkcija 27
2.6.7 RSS i Atom ubacivanja 28
2.6.8 Bomba jednog klika 28
2.6.9 Zaobilaženje politike istog izvora korištenjem Flash-a 28
2.7 Inspekcija klijentskog koda 29
2.7.1 Zaštita koda u klijentu 30
2.8 Politika istog izvora 32
2.8.1 Opis mehanizma 32
2.8.2 Internacionalne domene 34
2.8.3 Spoljne skripte 34
2.8.4 PDF ranjivosti 35
2.8.5 DNS kvačenje 35
2.8.6 Automatsko ubacivanje skripti s drugih domena 36
2.8.7 Ostali napadi na politiku istog izvora 38
2.9 Primeri eksploatacije ranjivosti korištenjem AJAX-a i JavaScript-a 41
2.9.1 Uzimanje JavaScript koda 41
2.9.2 Napad na lokalnu mrežu 45
3 LITERATURA 47


PORUČITE RAD NA OVOM LINKU >>> SEMINARSKI
maturski radovi seminarski radovi maturski seminarski maturski rad diplomski seminarski rad diplomski rad lektire maturalna radnja maturalni radovi skripte maturski radovi diplomski radovi izrada radova vesti studenti magistarski maturanti tutorijali referati lektire download citaonica master masteri master rad master radovi radovi seminarske seminarski seminarski rad seminarski radovi kvalitet kvalitetni fakultet fakulteti skola skole skolovanje titula univerzitet magistarski radovi

LAJKUJTE, POZOVITE 5 PRIJATELJA I OSTVARITE POPUST
08:17 PM
Poseti veb stranicu korisnika Pronađi sve korisnikove poruke Citiraj ovu poruku u odgovoru
Nova tema  Odgovori 


Verovatno povezane teme...
Tema: Autor Odgovora: Pregleda: zadnja poruka
  Semantički web derrick 0 1,503 08-02-2014 12:47 AM
zadnja poruka: derrick
  Sigurnost globalne mreže derrick 0 1,518 08-02-2014 12:46 AM
zadnja poruka: derrick
  Sigurnost na internetu derrick 0 2,359 08-02-2014 12:43 AM
zadnja poruka: derrick
  Virusi i zaštita od niv (makedonski) derrick 0 1,434 08-02-2014 12:36 AM
zadnja poruka: derrick
  Aplikacija nizova u programiranju derrick 0 1,555 08-09-2013 02:05 AM
zadnja poruka: derrick

Skoči na forum: