Webszolgáltatások biztonsága

OData támogatás
Konzulens:
Hornák Zoltán
Méréstechnika és Információs Rendszerek Tanszék

A diplomaterv kidolgozása során a feladatom a webszolgáltatások IT biztonsági szempontból történő áttekintése volt. A webszolgáltatások üzleti felhasználók körében a legkülönbözőbb helyzetekben fordulnak elő, például kritikus adatokkal dolgozó komplex rendszerek közötti kommunikáció megvalósítása során.

Az IT biztonság területén alkalmazott kockázatmenedzsment alapú megközelítésen keresztül részletesen megvizsgáltam a NIST és az OWASP által kialakított kockázatelemzési és kockázatmérséklési módszereket, és ezek lépéseit követve kielemeztem az általam kritikusnak talált, webszolgáltatásokra jellemző biztonsági problémák működését, kockázatát és a lehetséges kockázat-mérséklési megoldásokat. A problémákat ahol lehetett, olyan példákon keresztül mutattam be, amelyek valós helyzetben is előfordulnak.

Egy támadó gondolkodásának és a kockázatmenedzsment módszertanának megfelelően nem csak a már ismert biztonsági hibákat vizsgáltam meg, hanem bemutattam azokat a módszereket és eszközöket is, amelyek segítségével új, addig ismeretlen rendszerekben is felderíthetőek a különböző biztonsági hibák. A kialakított módszertan alapján számos tesztet futtattam a Microsoft Windows Server 2008 távoli menedzsmentjére alkalmas WinRM szolgáltatása, az SQL Server 2005 webszolgáltatásokat kiszolgáló funkciója, illetve az Oracle XDB megoldásai ellen. A módszertan megfelelőségének ellenőrzésére teszteltem az Oracle 11g mellett a 9i Release 2 XDB szolgáltatását is, amelyben korábban már találtak távoli kódfuttatásra lehetőséget biztosító buffer overflow sebezhetőséget. Ezt a sérülékenységet én is sikeresen megtaláltam a SPIKE fuzz-tesztelő keretrendszer segítségével, illetve elemeztem, a többi vizsgált rendszerben azonban nem találtam kihasználásra alkalmas új biztonsági problémát.

A vizsgálatok során sikerült átfogó ismeretekre szert tennem a webszolgáltatások biztonsága területén, illetve több olyan problémával és hiányossággal is szembekerültem a rendelkezésre álló eszközök kapcsán, amelyek megoldását úgy vélem, hogy a későbbiekben érdemes lehet valamilyen nyílt forráskódú projekt keretei között megvalósítani.

Letölthető fájlok

A témához tartozó fájlokat csak bejelentkezett felhasználók tölthetik le.