| Περίληψη |
Σε αυτή τη διατριβή εξετάζουμε επιθέσεις στον Παγκόσμιο Ιστό από μια σειρά διαφορετικών οπτικών γωνιών. Πρώτον, εισάγουμε τις επιθέσεις return to JavaScript, μια νέα μορφή Cross Site Scripting (ΧSS), η οποία δύναται να ξεπεράσει μέτρα που βασίζονται σε script whitelisting. Δεύτερον, σχεδιάζουμε την αρχιτεκτονική ενός πλήρους συστήματος, xJS, το οποίο μπορεί να αποτρέψει επιθέσεις εισαγωγής κώδικα JavaScript σε εφαρμογές Παγκόσμιου Ιστού. To xJS βασίζεται στην ιδέα της Τυχαιοποίησης Σετ Εντολών (ΤΣΕ), έτσι ώστε να μπορεί να απομονώσει νόμιμη JavaScript από κακόβουλες εισαγωγές. Κατά την αποτίμηση του xJS δείχνουμε ότι η επιβάρυνση στην πλευρά του διακομιστή και στην πλευρά του πελάτη είναι αμελητέα, μιας και το xJS βασίζεται στη γρήγορη εντολή XOR. Τρίτον, κατασκευάζουμε ένα πλαίσιο τυχαιοποίησης για εφαρμογές Παγκόσμιου Ιστού, RaJa, το οποίο μπορεί να αντεπεξέλθει σε περιβάλλοντα όπου γλώσσες, όπως π.χ. η ΡΗΡ και η JavaScript, αναμιγνύονται μεταξύ τους. Τέταρτον, παρουσιάζουμε το xHunter, έναν ανιχνευτή επιπέδου δικτύου, ο οποίος μπορεί να εντοπίσει κομμάτια JavaScript σε URLs. Με τη βοήθεια του x Hunter πραγματοποιούμε μια εκτεταμένη ανάλυση της μεγαλύτερης έως σήμερα πηγής επιθέσεων Παγκόσμιου Ιστού, XSSed.com, η οποία φιλοξενεί περίπου 12,000 συμβάντα. Η ανάλυση μας αποδεικνύει ότι στο 7% όλων των επιθέσεων δε χρησιμοποιούνται συστατικά Markup, όπως script και ίframe . Τέτοιου είδους επιθέσεις είναι πολύ δύσκολο να ανιχνευθούν από εργαλεία βασισμένα σε στατικές υπογραφές. Αναλύουμε όλες αυτές τις επιθέσεις με το xHunter και παρουσιάζουμε ένα σετ μερικών δεκάδων υπογραφών. Το σετ βασίζεται σε υπογραφές, οι οποίες εκφράζονται με τη βοήθεια συντακτικών δένδρων JavaScript.
Τέλος, αντιμετωπίζουμε το πρόβλημα της αλλοίωσης δεδομένων, τα οποία συλλέγονται από διακομιστές Παγκόσμιου Ιστού, παροχείς υπηρεσιών VoIP, ψηφιακών καταστημάτων και Παροχείς Υπηρεσιών Ίντερνετ. Παρουσιάζουμε τα Συμβόλαια Δικτυακών Ροών (ΣΔΡ), ένα σύστημα το οποίο μπορεί να δώσει τη δυνατότητα σε χρήστες να αποδείξουν ότι δεν έχουν αποπειραθεί να έρθουν σε επαφή με παράνομο περιεχόμενο. Τα ΣΔΡ απαιτούν κάθε δικτυακή αίτηση να είναι κρυπτογραφικά υπογεγραμμένη. Παρουσιάζουμε μια πρωτότυπη υλοποίηση, όπως και αποτίμηση της απόδοσης των ΣΔΡ.
Το αποτέλεσμα αυτής της έρευνας είναι ότι η Τυχαιοποίηση Σετ Εντολών μπορεί να εφαρμοσθεί σε εφαρμογές Παγκόσμιου Ιστού με μικρή επιβάρυνση και αντιμετώπιση ενός μεγάλου εύρους επιθέσεων, ενώ ανίχνευση επιθέσεων Παγκόσμιου Ιστού σε επιπέδου Δικτύου είναι δυνατή, αν και υπολογιστικά ακριβή για να εφαρμοστεί σε πραγματικό χρόνο. Κρυπτογραφικά υπογεγραμμένες δικτυακές ροές μπορούν να προστατέψουν χρήστες από την αλλοίωση δεδομένων σε επίπεδο Παροχέα Υπηρεσιών Ίντερνετ με μικρό κόστος.
|
Modern Techniques for the Detection and Prevention of Web2.0 Attacks
