Injektiot ja oikeuksien eskaloituminen luottamuksellisen tiedon turvaamisen uhkana
Nykyaikana käytetään entistä enemmän tietojärjestelmiä, joihin tallennetaan luottamuksellista tai arkaluontoista tietoa. On myös pahantahtoisia käyttäjiä, jotka haluavat päästä käsiksi tähän arkaluontoiseen tietoon. Tässä tutkielmassa tarkastellaan injektioita ja oikeuksien eskaloitumista keinona saada arkaluontoista tietoa tietojärjestelmästä. Tarkemmin injektioista käsitellään kolmea eri tyyppiä: shell-, skripti- ja SQL-injektioita. Oikeuksien eskaloitumiseen liittyen, tutkielmassa tarkastellaan järjestelmien oikeuksien hallintaa sekä miten oikeuksia jaetaan eri tasoihin. Eskaloitumisen estämisen keinona esitellään lyhyesti oikeuksien erottelumenetelmää. Nowadays information systems and databases are constantly growing even more popular, and confidential information are being trusted in the hands of such systems. There are also malicious users who want to get their hands on this confidential information. This paper looks into injections and privilege escalation as a way of extracting confidential information out of information systems. Three types of injections are included: shell, script and SQL-injections. This paper inspect ways of controlling privileges in a system and how privileges are divided into levels. Privilege separation is briefly introduced as a method of preventing privilege escalation.
Asiasanat
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Kandidaatintutkielmat [5362]
Lisenssi
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
Haavoittuvuuksien torjunta defensiivisillä ohjelmointikeinoilla PHP-sovelluksissa
Lehtinen, Mika (2012)Tutkielmassa kartoitetaan, kuinka SQL-injektioita, Cross-Site Scripting -hyökkäyksiä ja Cross-Site Request Forgery -hyökkäyksiä voidaan ehkäistä PHP-sovelluksissa defensiivisillä ohjelmointimenetelmillä. -
HTTP cookie weaknesses, attack methods and defense mechanisms : a systematic literature review
Jussila, Juha (2018)HTTP-eväste on ollut yleisesti käytetty tekniikka maailmanlaajuisissa tietoverkoissa. Useat laajamittaiset tietomurrot ovat osoittaneet, että evästeitä voidaan murtaa useilla erilaisilla hyökkäystyypeillä. On väistämätöntä ... -
SQL-tietokantojen suojaaminen tietoturvauhilta
Järvinen, Sami (2021)Viimeisen kolmenkymmenen vuoden aikana tietotekniikkaympäristö on käynyt läpi monia muutoksia, ja tietokantatutkimusyhteisöt ovat yrittäneet pysyä askeleen edellä tietokannan turvallisuusuhkia. Turvallisuuden merkitystä ... -
Pelikonsoleiden verkkopalveluiden tietoturvauhat
Ylönen, Riku (2020)Tutkielman tavoitteena on eritellä pelikonsoleiden verkkopalvelujen tietoturvauhkia ja hyökkäyksiä. Pelikonsoleiden käytön yleistymisen myötä myös hyökkäyksistä niitä kohtaan on tullut kiinnostavampia ja tuottoisampia. ... -
Cross-site scripting (XSS) vulnerability prevention in open-source web content management system documentation
Hanhijoki, Heikki (2023)Cross-site scripting (XSS) -haavoittuvuudet ovat olleet merkittävä uhka web-sovelluksille jo yli kahden vuosikymmenen ajan. XSS-haavoittuvuudet ovat säilyttäneet paikkansa yleisimmin havaittujen web-sovellushaavoittuvuuksien ...
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.