Drošības pārbaude tīmekļa lietojumprogrammām

Abstract

Darbā apskatītas metodes un rīki, ar kuru palīdzību var veikt drošības pārbaudi tīmekļu lietojumprogrammām. Drošības pārbaudes mērķis ir pārliecināties, ka lietojumprogrammas konkrētā vide nesatur nevienu ievainojamību, kuru varētu ļaunprātīgi izmantot. Galvenie pārbaudes virzieni ir vērsti tieši uz tīmekļa lietojumprogrammas koda un arhitektūras kvalitātes pārbaudi par pamatu izvēloties tieši PHP un MySQL tehnoloģijās veidotas lietojumprogrammas. Autors konstatē vairākas ievainojamības plaši lietotām atklātā pirmkoda tīmekļa lietojumprogrammām.

Autors veic praktiski drošības pārbaudi sekojošām atklātā pirmkoda lietojumprogrammām: TaskDriver, eTicket, OneOrZero Task Management System, phpMyAdmin.

In the paper author reviews methods and tools that allow making security verification for web applications. Purpose of security verification is to assure that particular implementation of web application does not contain vulnerabilities that can be exploited. Main verification vectors are to source code and application architecture quality check especially for application created using PHP and MySQL technologies. Author finds much vulnerability in widely used open source code applications.

Author performs security verification of following web applications: TaskDriver, eTicket, OneOrZero Task Management System, phpMyAdmin.