Riskanalys inom intrångsäkerhet på webbplatser
DatavetenskapComputer science - electronic securityComputer science - computersystemsComputer science - generalSäkerhetIntrångWebbplatsSkriptServerHackareProgrammering
Attacker och intrång på webbservrar är idag vanligt förekommande. Webben gör
det lätt för hackare, knäckare och andra inkräktare att hitta sårbara servrar,
och det finns gott om tips att hämta för den som vill lära sig hur man gör
intrång. Det finns ett flertal olika intrångsmetoder som utnyttjar olika typer
av svagheter i datorsystemen. Denna uppsats inriktar sig på svagheter i
webbplatsernas serverskriptsystem, dess skriptkod och konfiguration. Syftet är
att undersöka huruvida intrång kan göras med endast en webbläsare via
webbplatsens offentliga webbsidor.
Genom att kombinera tre olika metoder - litteraturundersökning, en enkät och
ett experiment - undersöker uppsatsen hur serverskriptintrång fungerar. Den
analyserar ett urval vanliga misstag webbprogrammerare kan göra, till exempel
att inte kontrollera inkommande data, eller att använda lättgissade
variabelnamn och databastabellnamn. Några olika typer av intrång analyseras,
som till exempel SQL-injektion. Förebyggande åtgärder tas även upp med ett
antal konkreta exempel.
Uppsatsens slutsats är att på webbplatser med svaga serverskriptsystem kan
inkräktare göra intrång via webbplatsens egna publika webbsidor, med endast en
vanlig webbläsare som hjälpmedel. I uppsatsens avslutande del diskuteras även
några orsaker till varför det produceras ogenomtänkt skriptkod, till exempel
beroende på att programmeringskurser i allmänhet inte tycks lära ut säker
programmering i tillräcklig utsträckning.