Your browser does not support JavaScript!

Αρχική    Modern Techniques for the Detection and Prevention of Web2.0 Attacks  

Αποτελέσματα - Λεπτομέρειες

Προσθήκη στο καλάθι
[Προσθήκη στο καλάθι]
Κωδικός Πόρου 000368405
Τίτλος Modern Techniques for the Detection and Prevention of Web2.0 Attacks
Άλλος τίτλος Νέες τεχνικές για την ανίχνευση και την αποτροπή επιθέσεων web2.0
Συγγραφέας Αθανασόπουλος, Ηλίας Αθανάσιος
Σύμβουλος διατριβής Μαρκάτος, Ευάγγελος
Περίληψη Σε αυτή τη διατριβή εξετάζουμε επιθέσεις στον Παγκόσμιο Ιστό από μια σειρά διαφορετικών οπτικών γωνιών. Πρώτον, εισάγουμε τις επιθέσεις return to JavaScript, μια νέα μορφή Cross Site Scripting (ΧSS), η οποία δύναται να ξεπεράσει μέτρα που βασίζονται σε script whitelisting. Δεύτερον, σχεδιάζουμε την αρχιτεκτονική ενός πλήρους συστήματος, xJS, το οποίο μπορεί να αποτρέψει επιθέσεις εισαγωγής κώδικα JavaScript σε εφαρμογές Παγκόσμιου Ιστού. To xJS βασίζεται στην ιδέα της Τυχαιοποίησης Σετ Εντολών (ΤΣΕ), έτσι ώστε να μπορεί να απομονώσει νόμιμη JavaScript από κακόβουλες εισαγωγές. Κατά την αποτίμηση του xJS δείχνουμε ότι η επιβάρυνση στην πλευρά του διακομιστή και στην πλευρά του πελάτη είναι αμελητέα, μιας και το xJS βασίζεται στη γρήγορη εντολή XOR. Τρίτον, κατασκευάζουμε ένα πλαίσιο τυχαιοποίησης για εφαρμογές Παγκόσμιου Ιστού, RaJa, το οποίο μπορεί να αντεπεξέλθει σε περιβάλλοντα όπου γλώσσες, όπως π.χ. η ΡΗΡ και η JavaScript, αναμιγνύονται μεταξύ τους. Τέταρτον, παρουσιάζουμε το xHunter, έναν ανιχνευτή επιπέδου δικτύου, ο οποίος μπορεί να εντοπίσει κομμάτια JavaScript σε URLs. Με τη βοήθεια του x Hunter πραγματοποιούμε μια εκτεταμένη ανάλυση της μεγαλύτερης έως σήμερα πηγής επιθέσεων Παγκόσμιου Ιστού, XSSed.com, η οποία φιλοξενεί περίπου 12,000 συμβάντα. Η ανάλυση μας αποδεικνύει ότι στο 7% όλων των επιθέσεων δε χρησιμοποιούνται συστατικά Markup, όπως script και ίframe . Τέτοιου είδους επιθέσεις είναι πολύ δύσκολο να ανιχνευθούν από εργαλεία βασισμένα σε στατικές υπογραφές. Αναλύουμε όλες αυτές τις επιθέσεις με το xHunter και παρουσιάζουμε ένα σετ μερικών δεκάδων υπογραφών. Το σετ βασίζεται σε υπογραφές, οι οποίες εκφράζονται με τη βοήθεια συντακτικών δένδρων JavaScript. Τέλος, αντιμετωπίζουμε το πρόβλημα της αλλοίωσης δεδομένων, τα οποία συλλέγονται από διακομιστές Παγκόσμιου Ιστού, παροχείς υπηρεσιών VoIP, ψηφιακών καταστημάτων και Παροχείς Υπηρεσιών Ίντερνετ. Παρουσιάζουμε τα Συμβόλαια Δικτυακών Ροών (ΣΔΡ), ένα σύστημα το οποίο μπορεί να δώσει τη δυνατότητα σε χρήστες να αποδείξουν ότι δεν έχουν αποπειραθεί να έρθουν σε επαφή με παράνομο περιεχόμενο. Τα ΣΔΡ απαιτούν κάθε δικτυακή αίτηση να είναι κρυπτογραφικά υπογεγραμμένη. Παρουσιάζουμε μια πρωτότυπη υλοποίηση, όπως και αποτίμηση της απόδοσης των ΣΔΡ. Το αποτέλεσμα αυτής της έρευνας είναι ότι η Τυχαιοποίηση Σετ Εντολών μπορεί να εφαρμοσθεί σε εφαρμογές Παγκόσμιου Ιστού με μικρή επιβάρυνση και αντιμετώπιση ενός μεγάλου εύρους επιθέσεων, ενώ ανίχνευση επιθέσεων Παγκόσμιου Ιστού σε επιπέδου Δικτύου είναι δυνατή, αν και υπολογιστικά ακριβή για να εφαρμοστεί σε πραγματικό χρόνο. Κρυπτογραφικά υπογεγραμμένες δικτυακές ροές μπορούν να προστατέψουν χρήστες από την αλλοίωση δεδομένων σε επίπεδο Παροχέα Υπηρεσιών Ίντερνετ με μικρό κόστος.
Φυσική περιγραφή xxii 135 σ. : εικ., πίν. ; 30 εκ.
Γλώσσα Αγγλικά
Θέμα Instruction set randomization
Isr
WEb2.0
Web security
XSS
Ασφάλεια
Εφαρμογές παγκόσμιου ιστού
Ημερομηνία έκδοσης 2011-07-15
Συλλογή   Σχολή/Τμήμα--Σχολή Θετικών και Τεχνολογικών Επιστημών--Τμήμα Επιστήμης Υπολογιστών--Διδακτορικές διατριβές
  Τύπος Εργασίας--Διδακτορικές διατριβές
Εμφανίσεις 147

Ψηφιακά τεκμήρια
No preview available

Προβολή Εγγράφου
Εμφανίσεις : 18