Το Σάββατο 2 Μαΐου στις 17:00 θα γίνει workshop με θέμα “SQL-Injection attacks and countermeasures”. Οι επιθέσεις τύπου Code injection, βρίσκονται πρώτες αυτή τη στιγμή στη λίστα του Open Web Application Security Project (OWASP) (https://owasp.org/www-project-top-ten/), και αποτελούν μία από τις ποιο επικίνδυνες επιθέσεις στο διαδίκτυο (web) τα τελευταία 20 χρόνια.

Στο workshop, που απευθύνεται σε φοιτητές του Τμήματος, θα μελετήσουμε βήμα-βήμα γιατί λειτουργούν αυτού του είδους οι επιθέσεις και πως υλοποιούνται. Στη συνέχεια θα μελετήσουμε πληροφορίες που μπορούμε να εξάγουμε και διάφορες τεχνικές. Αφού τα μελετήσουμε αυτά θα δούμε εργαλεία τα οποία αυτοματοποιούν τις εργασίες μας. Στη συνέχεια θα εξετάσουμε πώς ένας προγραμματιστής μπορεί να προφυλαχτεί από τέτοιου είδους επιθέσεις όταν γράφει κώδικα. Ακόμη, θα δούμε κάποιες από τις υπογραφές που χρησιμοποιούν τα Web Application Firewalls (WAF’s) για να τις αντιμετωπίσουν. Θα δοθεί βιβλιογραφία για όποιον θέλει να μελετήσει περισσότερο το πεδίο σε τεχνικό επίπεδο.  Η γλώσσα προγραμματισμού που θα χρησιμοποιηθεί είναι η php. Ο φοιτητής στο τέλος του workshop θα έχει α) κατανοήσει το γιατί και πως λειτουργούν οι επιθέσεις τύπου sql injection, β) θα είναι σε θέση να ανιχνεύσει και να εκτελέσει επιθέσεις sql injection, γ) θα είναι σε θέση να αμυνθεί όταν συγγράφει κώδικα αλλά και όταν χρειαστεί να προστατεύσει κάποιον server από τέτοιου είδους ευπάθειες.

Τέλος θα δοθεί ως εργασία η μελέτη ενός εργαλείου ανάλυσης στατικού κώδικα για ανίχνευση κενών ασφαλείας (και πέρα από sql injection). Η εργασία αφορά αποκλειστικά τα άτομα που συμμετέχουν στην Ομάδα Ασφάλειας του τμήματος. Θα δοθεί εισαγωγικός κώδικας ενός static code analysis, θα παρουσιαστεί με παραδείγματα, και θα ζητηθεί η περαιτέρω ανάπτυξη του. Με τη χρήση αυτού του εργαλείου θα είναι δυνατή η ημι-αυτόματη ή πλήρως αυτοματοποιημένη ανίχνευση ευπαθειών (vulnerabilities).

Για να παρακολουθήσετε το workshop Θα πρέπει να συνδεθείτε μέσω του zoom στο παρακάτω link (https://zoom.us/j/91149966563), αυτό το Σάββατο 2 Μαΐου στις 17:00.

Φιλιππίδης Αδάμ, Ακαδημαϊκός υπότροφος,
Information security, Privacy and GDPR Professional.