Student Računarskog fakulteta Dušan Đorđević je u utorak, 5. septembra 2023. godine odbranio diplomski rad na temu Ranjivost i odbrana od napada u full-stack web aplikacijama pred komisijom koju su činili mentor mr Miloš Milosavljević i član dr Snežana Popović.
U apstraktu svog rada Dušan je istakao sledeće:
U radu su opisane ranjivosti web aplikacije koja nije dovoljno zaštićena. Kao demonstracija korišćena je DVWA “Damn Vulnerable Web Application” platforma koja omogućava demonstraciju različitih vrsta napada od strane profesionalaca u oblasti sajber bezbednosti. Aplikacija je sama po sebi napravljena da bude ranjiva, tako da omogućava različite vrste napada. Prvi korak predstavlja instalaciju same DVWA aplikacije, koja je opisana uradu. Nakon toga primenom različitih tehnika i alata za probijanje zaštite pokrenuti su napadi koji omogućavaju pristup nekom resursu, ili krađu korisničkih kredencijala. Treba uzeti u obzir da svaki host koji je potencijalno ranjiv nije napravljen da bude kompromitovan na ovakav način, ovo je samo demonstracija mogućnosti jednog napadača. Instalacija DVWA aplikacije je moguća putem njihovog github javnog repozitorijuma. Neophodan je Apache1 web server.
…
Svedoci smo ubrzanog tehnološkog razvoja i inovacija, primenjenih tehnologija, web aplikacija, IOT uređaja, pojave pametnih automobila i veštačke inteligencije i njene primene u gotovo svim sferama života. Nesporno je da pojava i primena savremenih kompleksnih sistema predstavlja napredak, međutim sa druge strane kompleksnost i arhitektura koju ovi sistemi koriste doprinose porastu broja sigurnosnih propusta kao i faktoru ljudske greške koji je neizbežan a što sve može uticati na pouzdanost navedenih sistema i opravdanost njihove primene. Pojavom novih tehnologija i
“frameworka” pojavljuju se i nove ranjivosti. Iako je u ovom trenutku nemoguće sagledati i predvideti sve vrste ranjivosti jednog kompleksnog sistema, uopšteno govoreći može se zaključiti da do najvećeg broja sigurnosnih propusta dolazi usled neadekvatnog održavanja softvera u kome se ne primenjuju sigurnosni standardi na način na koji je to propisano a što neminovno dovodi do ogromnih novčanih gubitaka kompanijama kao i do pravnih problema. Poznavanje oblasti sajber bezbednosti, uočavanje i saniranje grešaka u samoj fazi razvoja softvera (“development stage”),
tako što će se ranjivost u kodu zabeležiti i ukloniti u sledećem sprintu, ažuriranje softvera i primena svih sigurnosnih standarda na način kako je to propisano predstavljaju osnovne metode smanjenja i uklanjanja rizika. Takođe smo svedoci vremena u kojem krađe osetljivih korisničkih podataka kao što su email, korisničko ime, lozinka, bankovni računi, kreditne kartice i slično postaju deo naše svakodnevnice, i “Data Breach” predstavlja ogroman problem kompanijama koje čuvaju korisničke podatke ali i pojedincima. Kada su osetljivi podaci u pitanju treba pratiti sve zakonske regulative, koristiti hach algoritme za bezbedno kriptovanje podataka u bazi kao i sprečiti svaki mogući propust koji može da dovede do ranjivosti. Takođe, treba podsticati razvijanje bounty programa koji pruža novčane nagrade za pronalaženje sigurnosnih propusta etičkim hakerima. U ovom diplomskom radu, demonstrirane su neke od osnovnih ranjivosti softvera i napada koje se mogu koristiti radi učenja i usavršavanja veština iz etičkog hakovanja. – zaključio je Dušan.
Fotografije su dostupne u galeriji.