Inlämning av Examensarbete / Submission of Thesis

Alexander Gustafsson , pp. 30. TEK/avd. för interaktion och systemdesign, 2004.

The work

Författare / Author: Alexander Gustafsson
agbth@swipnet.se
Titel / Title: Riskanalys inom intrångsäkerhet på webbplatser
Översatt titel / Translated title: Risk analyzis in web site intrusion security
Abstrakt Abstract:

Attacker och intrång på webbservrar är idag vanligt förekommande. Webben gör det lätt för hackare, knäckare och andra inkräktare att hitta sårbara servrar, och det finns gott om tips att hämta för den som vill lära sig hur man gör intrång. Det finns ett flertal olika intrångsmetoder som utnyttjar olika typer av svagheter i datorsystemen. Denna uppsats inriktar sig på svagheter i webbplatsernas serverskriptsystem, dess skriptkod och konfiguration. Syftet är att undersöka huruvida intrång kan göras med endast en webbläsare via webbplatsens offentliga webbsidor.
Genom att kombinera tre olika metoder - litteraturundersökning, en enkät och ett experiment - undersöker uppsatsen hur serverskriptintrång fungerar. Den analyserar ett urval vanliga misstag webbprogrammerare kan göra, till exempel att inte kontrollera inkommande data, eller att använda lättgissade variabelnamn och databastabellnamn. Några olika typer av intrång analyseras, som till exempel SQL-injektion. Förebyggande åtgärder tas även upp med ett antal konkreta exempel.
Uppsatsens slutsats är att på webbplatser med svaga serverskriptsystem kan inkräktare göra intrång via webbplatsens egna publika webbsidor, med endast en vanlig webbläsare som hjälpmedel. I uppsatsens avslutande del diskuteras även några orsaker till varför det produceras ogenomtänkt skriptkod, till exempel beroende på att programmeringskurser i allmänhet inte tycks lära ut säker programmering i tillräcklig utsträckning.

Ämnesord / Subject: Datavetenskap - Computer Science\Electronic Security
Datavetenskap - Computer Science\Computersystems
Datavetenskap - Computer Science\General
Nyckelord / Keywords: säkerhet, intrång, webbplats, skript, server, hackare, programmering

Publication info

Dokument id / Document id:
Program:/ Programme Informationsteknologiutbildning/Information Technology
Registreringsdatum / Date of registration: 09/16/2004
Uppsatstyp / Type of thesis: C-Uppsats

Context

Handledare / Supervisor: Bo-Krister Vesterlund
bo-krister.vesterlund@bth.se
Examinator / Examiner: Guohua Bai
Organisation / Organisation: Blekinge Institute of Technology
Institution / School: TEK/avd. för interaktion och systemdesign
S-372 25 Ronneby
+46 455 38 50 00

Files & Access

Bifogad uppsats fil(er) / Files attached: riskanalys_040527_alexander_gustafsson_dvc001.pdf (520 kB, öppnas i nytt fönster)