REPOZITORIJ > REZULTATI

Doktorska disertacija

Avtomatsko zaznavanje ranljivosti za varnost spletnih strani

Avtor(ji): Primož Cigoj (Avtor), Borka Jerman Blažič (Mentor)

Datum zagovora: 21.12.2021

Organizacija: MPŠ - Mednarodna podiplomska šola Jožefa Stefana

PID: 20.500.12556/ReVIS-13899

Ogledi: 5 | Prenosi: 10

Povzetek

Varnost spletnih aplikacij je še vedno izziv, čeprav že več kot desetletje potekajo obsežni raziskovalni napori na tem področju. Skupnost za kibernetsko varnost si prizadeva operacijske sisteme in komunikacijska omrežja narediti bolj varne, napadalcem pa otežiti napade. K enakemu cilju stremi tudi, ko gre za spletne aplikacije. Vendar je treba opozoriti tudi na veliko razliko med njimi.
Najbolj priljubljene spletne aplikacije in uporabniška spletna mesta razvijajo v sistemu za upravljanje spletnih vsebin (WCMS), saj uporabniku omogočajo prijazen dostop, enostaven razvoj in upravljanje. WCMS je razširjen po vsem svetu. Če zlonamerna programska oprema prodre vanj, lahko pomembno vpliva na sistem in povzroči napačno konfiguracijo ali drugače resno poškoduje ponujene storitve. Zato sta varnost in stabilnost teh sistemov ključni za zmanjšanje tveganj in posledic napadov ali motenj v delovanju spletnih mest zaradi zlonamerne programske opreme ali drugih vsiljivcev.
Doktorska disertacija predstavlja novo razvito metodo za prepoznavanje ranljivih spletnih mest, zgrajenih v WCMS. Študija, ki je potekala med nastajanjem doktorske disertacije, je bila osredotočena na raziskovanje in razvoj metod za zbiranje metapodatkov o ranljivih spletnih aplikacijah. Osrednja namena raziskave sta bila doseči sprejemljivo hitrost zbiranja ranljivih podatkov WCMS v velikem obsegu in pri iskanju ranljivosti slediti etičnim načelom. Ključna značilnost razvite metode je zmožnost obsežnega izvajanja avtomatiziranih, hitrih in dinamičnih pregledov ranljivosti spletnih mest, zgrajenih v WCMS, in priloženih vtičnikov.
Doktorska disertacija raziskuje, kakšna je po odkritih ranljivostih dejanska varnost spletne strani na platformi WordPress (WP). Raziskava temelji na študiji spletnega prostora po vsem svetu, s poudarkom na 30 evropskih državah, kjer so spletna mesta zgrajena z WordPress Content Management Systems (WPCMS), najbolj priljubljenem WCMS.
Spletne strani WPCMS predstavljajo del spletnih mest v celotnem svetovnem spletnem prostoru. Osrednji namen doktorske disertacije je predstaviti novo metodologijo za zagotavljanje informacij o ranljivosti WPCMS in usklajenih vtičnikih za spletno stran. Metodologija je bila kot orodje uporabljena za obsežno skeniranje interneta. Zbrani podatki se uporabljajo za izračun varnostne ocene spletnih mest. Podatki se nato analizirajo glede na več parametrov, za katere je bilo ugotovljeno, da vplivajo na splošno raven varnosti spletnega prostora v preučevanih državah.
V doktorski disertaciji je v prvem delu podano ozadje področja uporabe spletnih aplikacij in WCMS. Pregledno so predstavljene dosedanje raziskovalne študije in primerjave trenutnih metod skeniranja ranljivosti. Pregled omogoča jasno razumevanje uporabnosti predstavljenih metod, njihovih prednosti in slabosti. Na podlagi teh ugotovitev je predstavljen razvoj nove metode in njegova glavna izboljšava, ki omogoča hitro skeniranje, zbiranje podatkov in varnostno točkovanje. Vsako lastnost orodja primerjamo z obstoječimi podobnimi lastnostmi orodij. Predstavljene so tudi prednosti novega orodja.
Namen študije je bil ugotoviti, ali se spletna mesta, zgrajena z WPCMS, razlikujejo glede na delež varnih spletnih mest v različnih sektorjih uporabe. V odstotku ranljivih spletnih mest, ki pripadajo različnim sektorjem, ni bilo ugotovljene pomembne razlike, z izjemo spletnih mest v sektorju novic. Prav tako je videti, da gostovanje več spletnih mest na istem strežniku ne povzroča večje ranljivosti. Delež ranljivih osnovnih različic spletnih mest, zgrajenih z WPCMS, je po dveh skeniranjih v večjem obsegu pokazal, da je delež najdenih nezaščitenih spletnih mest nižji. Kljub temu je prisotnost vtičnikov ostala enaka. Ugotovljeno je bilo tudi, da so vtičniki pozitiven dejavnik tveganja za ranljivost.
Raziskovalna študija evropskega spletnega prostora je pokazala, da je varnost spletnih mest, zgrajenih v WPCMS, boljša tam, kjer so višji tudi družbeni in digitalni standardi (DS), kjer so torej nižji stroški fiksnega dostopa do interneta in višja raven digitalnih spretnosti.

Priloge

Citiraj to delo