Internetinių programų pažaidų paieškos automatizavimas
Abstract
Baigiamajame magistro darbe yra paruoštas automatinis saugumo spragų radimo modelis analizuojant šiandien naudojamus pažaidų paieškos įrankius. Modelis yra paruoštas remiantis atakos medžių teorija. Atakos šablonai, sukurti pagal OWASP pažaidų sąrašą, yra modeliuojami į skaitytuvo atakos medį, t.y. siekiant identifikuoti visas saugumo spragas testuojamoje internetinėje programoje įrankis turi įvykdyti visas medžio šakos atakų šablonų variacijas. Jei atakos šablonas pabaigos sąlygos yra tenkinamos – saugumo spraga rasta. Modeliuojamas skaitytuvas yra ruošiamas pagal WASC patentuotų nefunkcinių ir NIST saugumo spragų paieškos skaitytuvų funkcinių reikalavimų standartą. Darbe realizuotas ir pritaikytas pavyzdinis aklosios SQL injekcijos atakos šablonas. Darbą sudaro 9 dalys: įvadas, 2009-2010 m. saugumo situacijos analizė, saugumo spragų paieškos įrankių ir modelio analizė, automatinės pažaidų paieškos sistemos koncepcinio modelio ir jos atakų medžio modeliavimas, išvados ir siūlymai, literatūros sąrašas. Darbo apimtis – 50 p. teksto be priedų, 20 pav., 11 lentelės, 24 bibliografiniai šaltiniai. Atskirai pridedami 4 darbo priedai. In this work automatic vulnerability search model was prepared by analyzing existing web vulnerability scanners. Web vulnerability search model uses attack tree to define vulnerability search. All attack patterns which were created by refining attack tree are oriented to be able to find all OWASP TOP 10 vulnerabilities list. Automatic vulnerability search scanner is designed from WASC non functional scanners requirements and NIST web application vulnerabilities search requirements. Blind SQL injection attack pattern was programmed as example to demonstrate the process from attack patterns and real life usage. Structure: introduction, 2009-2010 years security situation analysis, vulnerability search scanners analysis, automatic vulnerability search model analysis, the modelling of attack tree and attack patterns, conclusions and suggestions, references. Thesis consists of: 50 p. text without appendixes, 20 pictures, 11 tables, 24 bibliographical entries. 4 appendixes included.