Injektiot ja oikeuksien eskaloituminen luottamuksellisen tiedon turvaamisen uhkana

Abstract

Nykyaikana käytetään entistä enemmän tietojärjestelmiä, joihin tallennetaan luottamuksellista tai arkaluontoista tietoa. On myös pahantahtoisia käyttäjiä, jotka haluavat päästä käsiksi tähän arkaluontoiseen tietoon. Tässä tutkielmassa tarkastellaan injektioita ja oikeuksien eskaloitumista keinona saada arkaluontoista tietoa tietojärjestelmästä. Tarkemmin injektioista käsitellään kolmea eri tyyppiä: shell-, skripti- ja SQL-injektioita. Oikeuksien eskaloitumiseen liittyen, tutkielmassa tarkastellaan järjestelmien oikeuksien hallintaa sekä miten oikeuksia jaetaan eri tasoihin. Eskaloitumisen estämisen keinona esitellään lyhyesti oikeuksien erottelumenetelmää.

Nowadays information systems and databases are constantly growing even more popular, and confidential information are being trusted in the hands of such systems. There are also malicious users who want to get their hands on this confidential information. This paper looks into injections and privilege escalation as a way of extracting confidential information out of information systems. Three types of injections are included: shell, script and SQL-injections. This paper inspect ways of controlling privileges in a system and how privileges are divided into levels. Privilege separation is briefly introduced as a method of preventing privilege escalation.