završni rad
Sigurnost web stranica

Michael Jakšić (2015)
Međimursko veleučilište u Čakovcu
Računarstvo
Podaci o radu
NaslovSigurnost web stranica
AutorMichael Jakšić
Voditelj/MentorSanja Brekalo (mentor)
Sažetak rada
Tema završnog rada je sigurnost web-stranica. Obrađuju se česti napadi na web-stranice i vrste zaštita. Na web-stranicama najčešće se koriste napadi ubacivanjem SQL koda (engl. SQL Injection). Navedeni napadi ostvaruju se na sloju baze podataka, a mogući su zbog nedovoljnog provjeravanja korisničkih ulaznih podataka te samog sustava. Postoji nekoliko bitnih napada ubacivanjem SQl koda. To su zaobilaženje prijave: napadač zaobilazi standardnu prijavu usernamea i passworda (korisničkog imena i lozinke), prikupljanje informacija o bazi podataka: dobivanje informacija o stukturi i vrsti baze za daljnje napade, otkrivanje podataka iz baze: uzimanje tuđih informacija koje su spremljene u bazi, dodavanje i izmjena podataka: izmjenjivanje postojećih ili dodavanje vlastitih informacija, DoS napad (engl. Denial of Service): rušenje cijele baze podataka ili onemogućavanje daljnjeg rada ostalim korisnicima, udaljeno izvođenje naredbi: izvođenje proizvoljnih naredbi u bazi podataka, a to su obično unaprijed spremljeni postupci koji su dostupni nekim korisnicima, te povećanje prava: dobivanje administratorskih prava za lakše izvođenje daljnjih napada. Nakon toga dolazi se do metoda zaštite od napada ubacivanjem SQL koda. Uz promjene u kodu, mogu se izbjeći neželjeni napadi. Naravno, ni jedna web-stranica nije 100 % sigurna, tako neki iskusniji, uporniji napadač unatoč zaštiti može izvesti napad. Zaštite koje se spominju u radu su sljedeće: baza podataka - napadaču je potrebno neko predznanje o bazi da bi izveo napad, zato korištenje netipičnih imena tablica i atributa otežava napad. Polja za unos: pretpostavlja se da korisničko ime ima svoju duljinu te da ne može biti duže od 40 znakova. Ograničavanjem broja znakova sprječava se iskorištavanje polja za unos SQL koda. Provjera podataka: kontinuirano provjeravanje svih podataka koje korisnik unosi. Poslužitelj: programu koji on koristi, dodijeliti minimalna prava, tek toliko da može normalno obavljati svoj rad. Programska podrška: postoje brojni programi koji pomažu vlasniku web-stranice u otkrivanju ranjivosti na SQL oblik napada, pa čak i neke druge. Nakon obrade primjera SQL napada, odrađen je praktični dio. Dakle, odrađeni su neki primjeri tih napada koji ne prelaze legalnu granicu, te su odrađeni na odabranoj web-stranici. Korišten je XAMPP web-server te DVWA (engl. Damn Vulnerable Web Application) stranica.
Ključne riječiSQL napad baza podataka web stranica zaštita podatak naredbe informacije
Naslov na drugom jeziku (engleski)Website safety
Povjerenstvo za obranuJurica Trstenjak
Sanja Brekalo
Bruno Trstenjak
Ustanova koja je dodijelila akademski/stručni stupanjMeđimursko veleučilište u Čakovcu
Ustrojstvena jedinica niže razineRačunarstvo
MjestoČakovec
Država obraneHrvatska
Znanstveno područje, polje, granaTEHNIČKE ZNANOSTI
Računarstvo
Informacijski sustavi
Vrsta studijastručni
Stupanjstručni
Naziv studijskog programaRačunarstvo; smjerovi: Programsko inženjerstvo, Inženjerstvo računalnih sustava i mreža
SmjerInženjerstvo računalnih sustava i mreža
Akademski / stručni nazivstručni/a prvostupnik/prvostupnica (baccalaureus/baccalaurea) inženjer/inženjerka računarstva
Kratica akademskog / stručnog nazivabacc. ing. comp.
Vrsta radazavršni rad
Jezik hrvatski
Datum obrane2015-09-30
Vrsta resursatekst
Prava pristupaRad u otvorenom pristupu
Uvjeti korištenja radahttp://rightsstatements.org/vocab/InC/1.0/
URN:NBNhttps://urn.nsk.hr/urn:nbn:hr:110:952494
PohranioPetra Horvat