6. Zaključak

U ovom radu opisani su uobičajeni sigurnosni problemi vezani uz Web primjenske programe, odnosno opisane su najučestalije i najkritičnije ranjivosti Web primjenskih programa. Kroz primjere je pokazano kako nastaju ranjivosti, te kako se iskorištavaju. Prema opisima ranjivosti može se zaključiti da je glavni razlog nastanka ranjivosti sigurnosna neosviještenost programera i administratora Web primjenskih programa. Razlog nastanka svih propusta je loše programsko ostvarenje sigurnosnih mehanizama ili izostanak nekih ključnih sigurnosnih mehanizama. Ranjivi Web primjenski programi obično odaju previše osjetljivih informacija kroz opise grešaka ili kroz nezaštićene dijelove Web primjenskog programa. Napadači iskorištavaju takve propuste kako bi proveli napad na Web primjenski program s ciljem da kompromitiraju Web primjenski program. U zadnje vrijeme napadači sve više koriste ranjivosti s kojima direktno ne napadaju Web primjenski program, nego napadaju korisnike Web primjenskog programa. Iskorištavanjem takvih ranjivosti napadači dolaze do osjetljivih korisničkih informacija, koje koriste za razne vrste prijevara, krađu identiteta, krađu financijskih sredstava i sl. Jedna od takvih ranjivosti je ranjivost koja omogućava izvršavanje napadačkog koda (XSS), koja je ujedno i najkritičnija i najučestalija ranjivost Web primjenskih programa.

U radu je opisan i programski alat za automatsko otkrivanje vrste Web primjenskih programa, odnosno opisan je WSAT sustav koji obavlja automatsko otkrivanje vrste Web primjenskih programa otvorenog koda. U radu je dan opis i arhitektura WSAT sustava, te je provedeno ispitivanje djelotvornosti alata u automatskom otkrivanju vrsta podržanih Web primjenskih programa. Ispitivanje djelotvornosti WSAT sustava obavljeno je ispitivanjem velikog broja stvarnih Web primjenskih programa na Internetu. Prema dobivenim rezultatima može se zaključiti da je WSAT uspješan u otkrivanju vrste Web primjenskog programa, jer su se za veliki broj ispitivanih Web primjenskih programa dobili zadovoljavajući rezultati. WSAT i alati slični njemu su korisni kod penetracijskog ispitivanja Web primjenskih programa. Služe za otkrivanje točne vrste Web primjenskog programa te se s time ubrzava postupak otkrivanja poznatih ranjivosti Web primjenskih programa.

U radu je opisan i ostvaren pomoćni programski alat za penetracijsko ispitivanje ranjivosti poznate vrste Web primjenskog programa na SQL ubacivanje. Alat se koristi za otkrivanje poznatih ranjivosti na SQL ubacivanje za određene CMS sustave. Prema ispitivanju djelotvornosti alata može se zaključiti da je uspješan u otkrivanju poznatih ranjivosti na SQL ubacivanje. Svrha ovog alata i njemu sličnih je da se olakša i ubrza izvođenje penetracijskog ispitivanja Web primjenskih programa. Korištenjem ostvarenog alata ubrzava se otkrivanje poznatih ranjivosti na SQL ubacivanje i smanjuje se mogućnost greške koja bi mogla nastati da se takve ranjivosti otkrivaju ručno. Ostvarivanjem ovog alata pokazalo se da se na vrlo jednostavan način mogu ostvariti alati koji značajno ubrzavaju i poboljšavaju otkrivanje poznatih ranjivosti, te time ubrzavaju provođenje penetracijskog ispitivanja i povećavaju kvalitetu ispitivanja.