www.uhasselt.be
DSpace

Document Server@UHasselt >
Education >
Faculty of Business Economics >
Master theses >

Please use this identifier to cite or link to this item: http://hdl.handle.net/1942/3123

Title: De beveiliging van webapplicaties
Authors: WAUTERS, Kris
Advisors: VANHOOF, K.
Issue Date: 2007
Publisher: UHasselt
Abstract: We leven tegenwoordig in het digitaal tijdperk. De steeds sneller evoluerende technologie brengt veel opportuniteiten mee voor ondernemingen. Ze verandert zelfs de economie. Meer en meer bedrijven verkopen hun producten of diensten via het Internet waardoor hun markt groter wordt. Het bekendste voorbeeld is Dell dat zijn klanten toelaat hun pc volledig zelf samen te stellen via hun website. Pas dan wordt de hele supply chain in gang gezet om het gepersonaliseerde product af te leveren. Volgens onderzoek van Unizo heeft in België momenteel ongeveer 80% van de KMO’s een website waarvan het in 75% van de gevallen gaat om een dynamische site met een of meerdere applicaties. Het zwakke punt van deze evolutie is de veiligheid van de online applicaties. Volgens Beaver zijn hiervoor twee belangrijke oorzaken. Ten eerste stellen ontwikkelaars de functionaliteit dikwijls boven de veiligheid. Een tweede oorzaak is dat het management zijn website liefst zo goedkoop en zo snel mogelijk online wil waardoor weinig aandacht besteed wordt aan het testproces. Time-to-market gaat voor op veilige, stabiele applicaties. Dat de beveiliging van webapplicaties te wensen over laat blijkt ook uit verschillende onderzoeken. Volgens de resultaten van de jaarlijke enquête van CSI/FBI neemt het misbruik van webapplicaties toe, in tegenstelling tot de meeste andere IT-bedreigingen. De onderneming CA geeft hiervoor een logische uitleg. Aangezien bedrijfs- en klantengegevens tegenwoordig dikwijls via een ERP systeem in een centrale database terechtkomen en webapplicaties gegevens uit deze database gebruiken, is het aantrekkelijk voor hackers om misbruik te maken van de zwakke beveiliging van de toepassingen. Ondernemingen kunnen zich dus best op een systematische en pro-actieve manier bezighouden met de beveiliging van hun applicaties om inkomstenverlies, diefstal van klantengegevens, reputatieschade,... te vermijden. Een eerste hulp voor hen is het rechtssysteem. In België bestaat er sinds 2001 een wet die hacken strafbaar maakt en zijn er overeenkomstige straffen opgenomen in het Strafwetboek. Het is verboden zich toegang te verschaffen tot een (deel van een) informaticasysteem als men weet dat hij hiertoe niet gerechtigd is. De beveiligingsindustrie is hiermee niet helemaal tevreden omdat ook onderzoekers die enkel het testen en verbeteren van de systeembeveiliging als doel hebben sindsdien ook strafbaar zijn. Ook de Europese Unie kwam in actie. Zij stelden een wet tegen cybercrime op die door alle lidstaten moest opgenomen worden in de eigen grondwet. Dit om in de EU tot een uniforme regelgeving te komen om het probleem te counteren dat hacken meestal een internationaal proces is met de aanvaller in een land en de aangevallen server in een ander land. Om zich te wapenen tegen aanvallen kunnen ondernemingen beveiligingsmaatregelen aanschaffen. Deze zijn echter niet goedkoop en dit in combinatie met een geringe kans om slachtoffer te worden, zorgt ervoor dat die stap meestal niet genomen wordt. Daarom werd een beslissingsanalyse uitgevoerd waaruit bleek dat de mogelijke schade als gevolg van misbruik van de webapplicaties toch groter was dan de kost die de maatregelen met zich meebrengen wat maakt dat het toch nuttig is om voor het scenario “beveiligen” te kiezen. De kost van deze maatregelen mag echter zeker niet het niveau van de potentiële verliezen evenaren. Gordon & Loeb geven als vuistregel dat de verhouding ongeveer 1/3 moet zijn en dat bijkomende investeringen dalend efficiënt zijn. Dit onderwerp werd ook met twee experten ter zake doorgenomen. Een eerste was de heer Marc Vael, director bij KPMG, die vindt dat ondernemingen het risico kunnen nemen niet in deze beveiligingsmaatregelen te voorzien maar hun beperkt budget beter kunnen besteden. Aan de andere kant vond de heer Erwin Geirnaert, gespecialiseerd in webapplicatie beveiliging, dat die investeringen zeker wel nodig zijn omdat de mogelijke schade hoger is dan de kosten. Beiden zijn het wel met elkaar eens dat de situatie in België momenteel nog helemaal niet zo prangend is maar dat dit in de toekomst zal veranderen. Dit omdat het probleem zelf groter zal worden, de ondernemingen er zich steeds bewuster van zullen worden en omdat de media er meer en meer aandacht aan besteedt, misschien zelfs overhyped. In het laatste hoofdstuk van het eerste deel worden metrieken behandeld. “You can not improve what you can’t measure”. Bedrijven berekenen momenteel nog vooral de ROSI, Return On Security Investment. Deze metriek houdt echter geen rekening met de tijdswaarde van geld en is daarom minder geschikt om investeringsbeslissingen ten opzichte van elkaar af te wegen. Hiervoor kan beter de IRR, interne opbrengstvoet gebruikt worden, maar voorlopig werkt slecht 1 op 5 van de ondernemingen hiermee. Metrieken om de werking van de securityprocessen zelf te waarderen bleken volgens Canal moeilijker te vinden. Dit omdat deze metrieken eigenlijk negatieve objectieven moeten meten en omwille van de niet-directe relatie. Hiermee wordt bedoeld dat het niet helemaal zeker is dat processen beter beveiligd zijn als er meer en meer aan beveiliging gedaan wordt. Dit omdat van de ene op de andere dag een kwetsbaarheid aan het licht kan komen waarvoor nog geen oplossingen voorhanden zijn. (Canal, 2007) Het technische deel van de thesis handelt vooral over de verschillende technieken die gebruikt kunnen worden om webapplicaties te misbruiken. Er wordt begonnen met een bespreking van de netwerk- en applicatiearchitectuur. Het is vooral belangrijk om de werking van het protocol HTTP van de applicatielaag te begrijpen. Uit statistieken van onder andere beveiligingsgoeroe Jeremiah Grossman blijkt dat het meest voorkomende aanvalstype Cross-Site Scripting is en het type dat voor de meeste schade kan zorgen is SQL-Injectie. In de laatste twee hoofdstukken werd daarom dieper ingegaan op deze technieken en gekeken hoe men zich ertegen kan verdedigen. Als gezamelijke oplossing geldt onder andere dat programmeurs de gebruikersinput moeten valideren, wat nu nog heel dikwijls verwaarloosd wordt. Er kunnen hierbij wel enkele addertjes onder het gras zitten maar al bij al moet het toch mogelijk zijn om een goed controleniveau te halen. Bepaalde waardes als quotes zijn taboe en best geeft men ook voor elk inputveld restricties op om kwaadaardige input te minimaliseren. Een ander punt waar de programmeur op moet letten is dat hij de gebruikers nooit meer rechten geeft dan nodig. Nu worden nog veel de adminrechten als standaard aan de gebruikers toegekend. Gewone surfers zullen hier niet veel schade mee kunnen uitrichten maar hackers weten heus wel hoe ze deze rechten kunnen misbruiken. Het ingeven van korte commando’s kan zo volstaan om de applicatieserver neer te halen.
Notes: 3de Jaar Handelsingenieur - Beleidsinformatica
URI: http://hdl.handle.net/1942/3123
Category: T2
Type: Theses and Dissertations
Appears in Collections: Master theses

Files in This Item:

Description SizeFormat
N/A1.71 MBAdobe PDF

Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.