Студент Рачунарског факултета Душан Ђорђевић је у уторак, 5. септембра 2023. године одбранио дипломски рад на тему Рањивост и одбрана од напада у full-stack web апликацијама пред комисијом коју су чинили ментор мр Милош Милосављевић и члан др Снежана Поповић.
У апстракту свог рада Душан је истакао следеће:
У раду су описане рањивости wеб апликације која није довољно заштићена. Као демонстрација коришћена је DVWA “Damn Vulnerable Web Application” платформа која омогућава демонстрацију различитих врста напада од стране професионалаца у области сајбер безбедности. Апликација је сама по себи направљена да буде рањива, тако да омогућава различите врсте напада. Први корак представља инсталацију саме DVWA апликације, која је описана у раду. Након тога применом различитих техника и алата за пробијање заштите покренути су напади који омогућавају приступ неком ресурсу, или крађу корисничких креденцијала. Треба узети у обзир да сваки хост који је потенцијално рањив није направљен да буде компромитован на овакав начин, ово је само демонстрација могућности једног нападача. Инсталација DVWA апликације је могућа путем њиховог github јавног репозиторијума. Неопходан је Apache1 wеб сервер.
…
Сведоци смо убрзаног технолошког развоја и иновација, примењених технологија, wеб апликација, IОТ уређаја, појаве паметних аутомобила и вештачке интелигенције и њене примене у готово свим сферама живота. Неспорно је да појава и примена савремених комплексних система представља напредак, међутим са друге стране комплексност и архитектура коју ови системи користе доприносе порасту броја сигурносних пропуста као и фактору људске грешке који је неизбежан а што све може утицати на поузданост наведених система и оправданост њихове примене. Појавом нових технологија и
“frameworka” појављују се и нове рањивости. Иако је у овом тренутку немогуће сагледати и предвидети све врсте рањивости једног комплексног система, уопштено говорећи може се закључити да до највећег броја сигурносних пропуста долази услед неадекватног одржавања софтвера у коме се не примењују сигурносни стандарди на начин на који је то прописано а што неминовно доводи до огромних новчаних губитака компанијама као и до правних проблема. Познавање области сајбер безбедности, уочавање и санирање грешака у самој фази развоја софтвера (“development stage”),
тако што ће се рањивост у коду забележити и уклонити у следећем спринту, ажурирање софтвера и примена свих сигурносних стандарда на начин како је то прописано представљају основне методе смањења и уклањања ризика. Такође смо сведоци времена у којем крађе осетљивих корисничких података као што су email, корисничко име, лозинка, банковни рачуни, кредитне картице и слично постају део наше свакодневнице, и “Data Breach” представља огроман проблем компанијама које чувају корисничке податке али и појединцима. Када су осетљиви подаци у питању треба пратити све законске регулативе, користити hach алгоритме за безбедно криптовање података у бази као и спречити сваки могући пропуст који може да доведе до рањивости. Такође, треба подстицати развијање bounty програма који пружа новчане награде за проналажење сигурносних пропуста етичким хакерима. У овом дипломском раду, демонстриране су неке од основних рањивости софтвера и напада које се могу користити ради учења и усавршавања вештина из етичког хаковања. – закључио је Душан.
Фотографије су доступне у галерији.