δείτε την πρωτότυπη σελίδα τεκμηρίου στον ιστότοπο του αποθετηρίου του φορέα για περισσότερες πληροφορίες και για να δείτε όλα τα ψηφιακά αρχεία του τεκμηρίου*
Hackademic: A tool for teaching application security in practice
Η ραγδαία αύξηση των κυβερνοεπιθέσεων καθώς και η χρήση δικτυωμένων υπολογιστών
για τη διαχείριση κρίσιμων υποδομών κάνει όλο και πιο αναγκαία την εκμάθηση
ασφαλούς
συγγραφής λογισμικού και τον γρήγορο εντοπισμό των ευπαθειών λογισμικού. Όμως
το α-
πρόβλεπτο στοιχείο των ευπαθειών λογισμικού και το πιθανώς καταστροφικό
αποτέλεσμα
που μπορεί να έχει η εκμετάλευσή τους καθιστούν αναγκαία την ύπαρξη
εκπαιδευτικών
εφαρμογών με γνωστές ευπάθειες.
Γι αυτό το σκοπό έχει δημιουργηθεί μια πληθώρα ευπαθών εφαρμογών με πολλαπλά α-
ξιοσημείωτα χαρακτηριστικά. Απο αυτές λίγες είναι επεκτάσιμες, είναι ασφαλείς
για το
server που τις φιλοξενεί παρά τις ευπάθειές τους και τέλος δίνουν στο χρήστη τη
δυνατό-
τητα να προσθέσει εκπαιδευτικό περιεχόμενο και επιπλέον ευπάθειές χωρίς να
χρειαστεί
να γράψει κώδικα.
Στο παρόν έγγραφο παρουσιάζουμε επεκτάσεις στο OWASP Hackademic Challenges με
τις οποίες ο χρήστης έχει τη δυνατότητα εύκολα και γρήγορα να εγκαταστήσει ένα
πλήρες
περιβάλλον εκμάθησης ασφάλειας υπολογιστών που όμως δεν παρουσιάζει κινδύνους
για το σύστημα που το φιλοξενεί.
Βασικός στόχος της εφαρμογής είναι η διευκόλυνση των διδακτικών ομάδων στην
ανώτε-
ρη εκπαίδευση, των εκπαιδευτών ασφάλειας υπολογιστών καθώς και οποιουδήποτε επι-
θυμεί ν αποκτήσει γνώσεις στο αντικείμενο. Ο κορμός της εφαρμογής αποτελείται
απο 2
αρκετά διαχωρισμένα συστήματα, το σύστημα διαχείρισης περιεχομένου και το
σύστημα
διαχείρισης φιλοξενούμενων εφαρμογών. Το σύστημα διαχείρισης περιεχομένου είναι
μια
επεκτάσιμη διαδικτυακή εφαρμογή γραμμένη σε php που αναλαμβάνει την παρουσίαση
και γρήγορη διαχείριση εκπαιδευτικού περιεχομένου. Το σύστημα διαχείρισης
φιλοξενού-
μενων εφαρμογών αναλαμβάνει ν απομονώσει τις ευπαθείς εφαρμογές που
φιλοξενούνται
στον εξυπηρετητή και να συλλέξει μεταδεδομένα απο τις απόπειρες του χρήστη να
τους
επιτεθεί. Η εφαρμογή είναι ελεύθερου κώδικα και έχει προσεγγίσει ήδη μια
σημαντική
κοινότητα χρηστών
(EL)
Τhe rapid rise of cyber attacks combined with the increasing introduction of
network enabled
equipment to manage critical infrastructure increases the need of security
aware software
engineers. However efficiently training software engineers to be security aware
and training
computer scientists to efficiently spot and exploit or mitigate security
vulnerabilities is far
from simple. Therefore, purposely vulnerable systems and application used for
training are
needed. Towards this end, there is a plethora of such systems with varying
features mainly
concentrated around vulnerable applications the user can download and exploit
locally.
However, from the training applications we researched, very few were safe to
host on an
internet-facing server, almost none were extendable and finally almost none
allow the user
to add training material without having to contribute to the code base. In this
document we
present patches to the OWASP Hackademic Challenges Project. Using them, a user
can
easily install a complete training environment safe for the hosting server. The
project’s
core consists of two losely connected systems, the content management system and
the container engine or challenge sandbox. The former being an easily
extendable php
application which handles the presentation and management of the teaching
material. The
later takes care of isolating the vulnerable training applications from the
rest of the server
and collect student performance data which can be used to gauge student
performance.
The application is under the OWASP organization umbrella and it’s opensource
hosted
on Github.
(EN)
*Η εύρυθμη και αδιάλειπτη λειτουργία των διαδικτυακών διευθύνσεων των συλλογών (ψηφιακό αρχείο, καρτέλα τεκμηρίου στο αποθετήριο) είναι αποκλειστική ευθύνη των αντίστοιχων Φορέων περιεχομένου.
Βοηθείστε μας να κάνουμε καλύτερο το OpenArchives.gr.
Εθνικό και Καποδιστριακό Πανεπιστήμιο Αθηνών
