Research and Development 1/^Archief/2007-2008/projecten/Beveiliging van websites/Onderzoeksplan

Uit Werkplaats
Ga naar: navigatie, zoeken

Probleemstelling

Onderzoeksvraag: Welk percentage van alle websites is onveilig*?

Onveilig: het is mogelijk om mbv onderstaande hacktechnieken te kraken.

  • Cross Site Scripting
  • SQL Injection
  • Remote execution
  • Brute Force
  • Upload Hacks


We willen verschillende dingen bereiken:

  • Een idee krijgen hoe de beveiliging achter een website globaal in elkaar zit.
  • Een lijst van punten opstellen waar wij denken dat een veiligheidsrisico kan voorkomen.
  • Een prototype ontwikkelen. Dit houdt in dat we een systeem willen ontwikkelen dat de beveiligingslekken van een website met een klik op de knop kan weergeven.

Verantwoording

Het internet neemt de laatste jaren steeds meer een centrale plek in onze samenleving. Enorme hoeveelheden informatie wordt via het internet vrijgegeven. Veel informatie hiervan is slechts bedoeld voor een beperkte groep, en daarom zal deze informatie goed beschermd moeten worden tegen inbrekers. De vraag naar een goede beveiliging is dus erg groot, en dit maakt het tot een interessant onderwerp voor ons.

We hebben een artikel gevonden waarin wordt vermeldt dat 70% van alle websites wereldwijd serieuze beveiligingsrisico’s kent (Klik hier voor het artikel). Dit baart ons zorgen. Als je voor een website betaald moet je er volgens ons van uit kunnen gaan dat hier niet m.b.v. eenvoudige technieken in te breken is.

Een andere belangrijke reden om hier onderzoek naar te doen, is uiteraard het opdoen van kennis die wij in deze studie nog niet hebben kunnen opdoen. Denk bijvoorbeeld aan encryptie-methoden, andere programmeertalen (PHP, javascript), etc.

Kort samengevat is dit onderwerp voor ons interessant om de volgende redenen:

  • Het belang van een goede beveiliging van gevoelige informatie
  • Beveiliging blijkt volgens artikel op dit moment vaak niet goed te zijn.
  • Opdoen van kennis

Theoretisch kader

We verwachten voor ons onderzoek informatie te moeten verkrijgen over de volgende onderwerpen: We verwachten tijdens ons onderzoek bezig te zijn met de volgende onderwerpen:

  • het http-protocol
  • het opslaan en opvragen van gegevens uit databases
  • permissies
  • encryptie en decryptie van informatie
  • opslag van sessies en cookies
  • talen zoals sql/php/java

Methode

We zullen eerst literair onderzoek doen en later zullen we ons meer richten op de toepassing van de vergaarde informatie in het prototype.

Tijd- en faseringsschema

We hebben de werkzaamheden opgedeeld in de volgende drie fases:

Fase 1

  • Informatie zoeken met betrekking tot het hacken van een website
  • De verkregen informatie toepassen op een website

Doel: een website hacken.

Fase 2

  • De hackmethodes (zie Methodes) loslaten op het open source cms en andere open source systemen
  • In de broncode van het open source cms en andere open source systemen kijken wat de reden is dat een bepaalde hackmethode werkt, met andere woorden kijken wat er fout is of wat er ontbreekt

Doel: een lijst met per hackmethode (zie Methodes) de mogelijke manieren om te herkennen of deze methode toepasbaar is op een bepaalde website.

Fase 3

  • Het ontwikkelen van een prototype met behulp van de tot nu toe gevonden informatie en de lijst die we in fase 2 hebben gemaakt.

Doel: een systeem ontwikkeld te hebben dat beveiligingslekken van een website vindt.

Literatuur

Onderzoeksfase 1

Algemeen

[1]

SQL injection

Overgenomen van "https://lab.cs.ru.nl/algemeen/index.php?title=Research_and_Development_1/%5EArchief/2007-2008/projecten/Beveiliging_van_websites/Onderzoeksplan&oldid=89560"