Global ETD Search

21	Militär nytta på stridsteknisk nivå : SUAV-system och CUAS / Military utility on the technical level : Small UAVs and CUAS Janurberg, William January 2019 (has links) Detta självständiga arbete undersöker stridstekniska obemannade luftfarkostsystem (SUAV) och potentiella tekniska system som är motverkande mot obemannade luftfarkoster (CUAS). Nyttjandet av stridstekniska obemannade luftfarkostsystem har ökat kraftigt och har observerats i både Syrien och Ukraina. I den ryska armén har de sett framgångsrik användning i samverkan med befintliga artillerisystem. Syftet med detta självständiga arbete är att analysera och förstå de effekter som tekniken har på militära operationer. I detta arbete används det militärtekniska konceptet ’militär nytta’ Andersson m.fl. (2015) i kombination med Johnsonkriteriet som används för att beräkna räckvidden på infraröda sensorer. Tillsammans med användningen av systemanalys och scenariobaserade metoder, har stridstekniska obemannade luftfarkostsystem och tekniska system som är motverkande mot obemannade luftfarkoster värderats med konceptet militär nytta. Slutsatserna från detta arbete visar att stridstekniska obemannade luftfarkostsystem har en god militär nytta då de används mot en motoriserad skyttebataljon (militär aktör), i förberedelsefasen av en fördröjningsstrid (kontext). Vid värderingen av de två tekniska systemalternativen som motverkar obemannade luftfarkoster; eldvapensystem och robotsystem, har bärbara luftvärnsrobotsystem bedömts ha en bättre militär nytta än automatkanonsystem på grund av dess möjliga användning i avsuttna operationer. / This independent project studies Small Unmanned Aerial Vehicles and potential Counter Unmanned Aerial Systems. The usage of Small Unmanned Aerial Systems has grown rapidly and has seen use in warfare in both Syria and Ukraine. In the Russian armed forces, they have seen successful use when used in combination with legacy artillery systems. The purpose of this independent project is to analyse and understand the effects that technology has on military operations. In this project, a military-technology concept called ‘military utility’ Andersson et al. (2015) is used in combination with the Johnson criteria which is used to calculate infrared sensor range. Together with the use of systems analysis and scenario-based methods, Small Unmanned Aerial Vehicles and two identified Counter Unmanned Aerial System alternatives have been assessed with the military utility concept. The conclusions of this independent project show that Small Unmanned Aerial Vehicles have a good degree of military utility when used against a motorized infantry battalion (military actor), in the preparatory phase of a delay operation (context). When assessing the two Counter Unmanned Aerial System alternatives; gun-based systems and missile air defence systems, man-portable air-defence systems have, because of their possible use in dismounted operations, been considered to have a greater military utility in comparison to autocannon systems. counter-air defence critical gaps CUAS emerging threats Johnson criteria military utility motorized infantry battalion small UAV thermal imaging CUAS framväxande hot infraröda sensorer Johnsonkriteriet kritiska sårbarheter luftvärn militär nytta motoriserad skyttebataljon SUAV Social Sciences Interdisciplinary
22	Graybox-baserade säkerhetstest : Att kostnadseffektivt simulera illasinnade angrepp Linnér, Samuel January 2008 (has links) <p>Att genomföra ett penetrationstest av en nätverksarkitektur är komplicerat, riskfyllt och omfattande. Denna rapport utforskar hur en konsult bäst genomför ett internt penetrationstest tidseffektivt, utan att utelämna viktiga delar. I ett internt penetrationstest får konsulten ofta ta del av systemdokumentation för att skaffa sig en bild av nätverksarkitekturen, på så sätt elimineras den tid det tar att kartlägga hela nätverket manuellt. Detta medför även att eventuella anomalier i systemdokumentationen kan identifieras. Kommunikation med driftansvariga under testets gång minskar risken för missförstånd och systemkrascher. Om allvarliga sårbarheter identifieras meddelas driftpersonalen omgå-ende. Ett annat sätt att effektivisera testet är att skippa tidskrävande uppgifter som kommer att lyckas förr eller senare, t.ex. lösenordsknäckning, och istället påpeka att orsaken till sårbarheten är att angriparen har möjlighet att testa lösenord obegränsat antal gånger. Därutöver är det lämpligt att simulera vissa attacker som annars kan störa produktionen om testet genomförs i en driftsatt miljö.</p><p>Resultatet av rapporten är en checklista som kan tolkas som en generell metodik för hur ett internt penetrationstest kan genomföras. Checklistans syfte är att underlätta vid genomförande av ett test. Processen består av sju steg: förberedelse och planering, in-formationsinsamling, sårbarhetsdetektering och analys, rättighetseskalering, penetrationstest samt summering och rapportering.</p> / <p>A network architecture penetration test is complicated, full of risks and extensive. This report explores how a consultant carries it out in the most time effective way, without overlook important parts. In an internal penetration test the consultant are often allowed to view the system documentation of the network architecture, which saves a lot of time since no total host discovery is needed. This is also good for discovering anomalies in the system documentation. Communication with system administrators during the test minimizes the risk of misunderstanding and system crashes. If serious vulnerabilities are discovered, the system administrators have to be informed immediately. Another way to make the test more effective is to skip time consuming tasks which will succeed sooner or later, e.g. password cracking, instead; point out that the reason of the vulnerability is the ability to brute force the password. It is also appropriate to simulate attacks which otherwise could infect the production of the organization.</p><p>The result of the report is a checklist by means of a general methodology of how in-ternal penetration tests could be implemented. The purpose of the checklist is to make it easier to do internal penetration tests. The process is divided in seven steps: Planning, information gathering, vulnerability detection and analysis, privilege escalation, pene-tration test and final reporting.</p> Penetration test black box gray box white box vulnerabilities exploit methodology checklist nmap metasploit xss sql-injection security Penetrationstest internt blackbox graybox whitebox sårbarheter exploit metodik checklista nmap metasploit xss sql-injection säkerhet Computer science Datalogi
23	Graybox-baserade säkerhetstest : Att kostnadseffektivt simulera illasinnade angrepp Linnér, Samuel January 2008 (has links) Att genomföra ett penetrationstest av en nätverksarkitektur är komplicerat, riskfyllt och omfattande. Denna rapport utforskar hur en konsult bäst genomför ett internt penetrationstest tidseffektivt, utan att utelämna viktiga delar. I ett internt penetrationstest får konsulten ofta ta del av systemdokumentation för att skaffa sig en bild av nätverksarkitekturen, på så sätt elimineras den tid det tar att kartlägga hela nätverket manuellt. Detta medför även att eventuella anomalier i systemdokumentationen kan identifieras. Kommunikation med driftansvariga under testets gång minskar risken för missförstånd och systemkrascher. Om allvarliga sårbarheter identifieras meddelas driftpersonalen omgå-ende. Ett annat sätt att effektivisera testet är att skippa tidskrävande uppgifter som kommer att lyckas förr eller senare, t.ex. lösenordsknäckning, och istället påpeka att orsaken till sårbarheten är att angriparen har möjlighet att testa lösenord obegränsat antal gånger. Därutöver är det lämpligt att simulera vissa attacker som annars kan störa produktionen om testet genomförs i en driftsatt miljö. Resultatet av rapporten är en checklista som kan tolkas som en generell metodik för hur ett internt penetrationstest kan genomföras. Checklistans syfte är att underlätta vid genomförande av ett test. Processen består av sju steg: förberedelse och planering, in-formationsinsamling, sårbarhetsdetektering och analys, rättighetseskalering, penetrationstest samt summering och rapportering. / A network architecture penetration test is complicated, full of risks and extensive. This report explores how a consultant carries it out in the most time effective way, without overlook important parts. In an internal penetration test the consultant are often allowed to view the system documentation of the network architecture, which saves a lot of time since no total host discovery is needed. This is also good for discovering anomalies in the system documentation. Communication with system administrators during the test minimizes the risk of misunderstanding and system crashes. If serious vulnerabilities are discovered, the system administrators have to be informed immediately. Another way to make the test more effective is to skip time consuming tasks which will succeed sooner or later, e.g. password cracking, instead; point out that the reason of the vulnerability is the ability to brute force the password. It is also appropriate to simulate attacks which otherwise could infect the production of the organization. The result of the report is a checklist by means of a general methodology of how in-ternal penetration tests could be implemented. The purpose of the checklist is to make it easier to do internal penetration tests. The process is divided in seven steps: Planning, information gathering, vulnerability detection and analysis, privilege escalation, pene-tration test and final reporting. Penetration test black box gray box white box vulnerabilities exploit methodology checklist nmap metasploit xss sql-injection security Penetrationstest internt blackbox graybox whitebox sårbarheter exploit metodik checklista nmap metasploit xss sql-injection säkerhet Computer Sciences Datavetenskap (datalogi)
24	Threat Modeling and Penetration Testing of a Yanzi IoT-system : A Survey on the Security of the system’s RF communication Isabar, Diyala January 2021 (has links) Internet of Thing (IoT) products have in recent years become increasingly popular with both industries and private consumers, and it has been forecasted that the number of connected devices around the world will be roughly 14 billion in the year 2022. One particular field that the booming of IoT solutions continues to create endless possibilities for is smart offices. Several different devices are connected in an office environment to create a better workplace and enable a better, faster and smarter working approach. However, while there are several advantages with IoTs, they have also introduced new security threats that can not be overlooked. In this thesis, the security of a smart office system designed by Yanzi is examined. The system consists of a gateway, 34 sensors and a cloud service embedded as a SaaS. The security analysis was performed in three steps: planning, penetration testing and reporting. Radio frequency (RF) hacking against the systems RF communication was the main focus of the work. Due to some technical issues, not all selected attacks were possible to perform. Out of three that were possible to perform, one of them revealed a security flaw. Different countermeasures for the found flaw were proposed. / ”Internet av saker” produkter har under de senaste åren blivit alltmer populära bland både industrier och privata konsumenter, och man har prognostiserat att antalet anslutna enheter runt om i världen kommer att vara ungefär 14 miljarder år 2022. Ett särskilt område som ökandet av IoT-lösningar fortsätter att skapa oändliga möjligheter för är smarta kontor. Flera olika enheter är anslutna i en kontorsmiljö för att skapa en bättre arbetsplats och möjliggöra ett bättre, snabbare och smartare arbetssätt. Även om det finns flera fördelar med IoT, har de också infört nya säkerhetshot som inte kan förbises. I denna avhandling undersöks säkerheten för ett smart kontorssystem som designats av Yanzi. Systemet består av en gateway, 34 sensorer och en molntjänst inbäddad som en SaaS. Säkerhetsanalysen utfördes i tre steg: planering, penetrationstestning och rapportering. Radiofrekvenshackning mot systemets radiokommunikation var huvudfokus för arbetet. På grund av vissa tekniska problem var det inte möjligt att utföra alla föreslagna attacker. Av de tre som var möjliga att utföra avslöjade en av dem ett säkerhetsfel. Olika motåtgärder för den funna sårbarheten föreslås. Security Internet of Things penetration testing threat assessment threat modeling ethical hacking vulnerabilities RF communication smart office Säkerhet ”Internet av saker” penetrationstestning hotbedömning hotmodelering etisk hacking sårbarheter radiokommunikation smarta kontorN Computer Sciences Datavetenskap (datalogi)
25	Portabla enheter : Hot, risker, sårbarheter, lösningar och skyddande motåtgärder / Portable devices : Threats, risks, vulnerabilities, solutions and protection countermeasures Moradinia, Pourya, Haule, Godfrey January 2012 (has links) Detta examensarbete har utförts på uppdrag av Försvarsmakten. Arbetets målsättning är att undersöka hot, risker och sårbarheter som portabla enheter kan orsaka eller bidra till inom en organisation. Bärbara datorer med operativsystemet Windows och Mac, samt surfplattor och smartphones med operativsystemet Android, iOS och Windows Phone är de portabla enheter som är utvalda att ingå i denna rapport. Vidare diskuteras förslag på hur man kan förebygga olika säkerhetsrisker. Rapporten tar även upp dagens BYOD-lösningar (Bring Your Own Device). Exempel på olika produkter från kända företag tas upp för att åskådliggöra åtgärder som kan vidtas mot de hot, risker och sårbarheter som orsakas av de portabla enheter som nämns. Förslag på olika metoder och säkerhetslösningar diskuteras för att förenkla förståelsen av hur pass allvarliga problem de säkerhetsrisker som ingår i en portabel enhet kan orsaka. Idag använder en stor mängd företag, myndigheter, organisationer och privatpersoner mobila enheter. Det kan röra sig om antingen företagsägda eller privata mobilenheter. Ökad produktivitet, förbättrad service mot kunder och minskade IT-kostnader är några av många fördelar med att använda portabla enheter i en verksamhet. Men när användning ökar, ökar också riskerna. De flesta mobila enheter har skapats med säkerhetsplattformar som saknar, eller har begränsade säkerhetslösningar, för att de har begränsade resurser i form av minneskapacitet, batteritid och hårddiskutrymme. Dessutom handlar det om ny teknologi som fortfarande är under utveckling. Just detta leder till att mobila enheter är särskilt attraktiva för inkräktare, eftersom de är lätta mål och effekterna blir stora. Det ideala vore en säkerhetslösning som är kompatibel med de flesta mobilplattformar. Dessutom skulle den ha kapacitet att skydda data som sparas på enheten liksom data som skickas mellan enheter, eller mellan en portabel enhet och företagsnätverk. Denna lösning ska också vara anpassad till de behov som finns i en stor organisation, samtidigt som den också måste vara resurssnål med tanke på mobila enheters begränsade kapacitet. För tillfället saknas en sådan lösning på marknaden. Därför bör ett företag eller myndighet i dagsläget se sig om efter ett flertal lämpliga säkerhetslösningar som kan kombineras för att uppnå bästa möjliga säkerhetsnivå i enlighet med dess rådande säkerhetspolicy. / This thesis has been written on behalf of the Swedish Armed Forces (Försvarsmakten). The objective of this thesis is to investigate the threats, risks and vulnerabilities that can be caused by portable devices within an organization. Laptop computers with operative system Windows and Mac, tablet PCs and smart phones with operating system Android, iOS and Windows Phone are the only portable devices that have been selected to be part of this report. Proposals on how to prevent these risks are discussed in this work. The report also discusses today's BYOD solutions. Examples of different products from known companies are admitted to more easily describe the actions of the threats, risks and vulnerabilities caused by the portable devices mentioned. Different methods and security solutions are discussed to simplify the understanding of the severity of problems and security risks caused by the portable devices. The mobile technology has recently become powerful and as a result large enterprises, government workers, small business and private consumers are all using smart phones or other mobile devices to manage both business and personal interactions. Increased employee productivity, improved client services and reduced IT cost are some of the advantages of using mobile devices in an enterprise. Securing these devices at the enterprise level has become a challenge for many IT security experts due to the fact that mobile devices have limited resources (memory, CPU, hard disk space and battery). Therefore, hackers are discovering the economic potential of attacking mobile devices on a course to compromise both business and personal data contained within mobile. An ideal mobile security solution would be one that is compatible with all the major mobile platforms on the market. Moreover, it would have the capacity to protect data stored on the device as well as data sent between devices or between a portable device and an enterprise network. This solution should also be tailored to the needs of an authority or any large organization, while it also has to be resource-efficient, given that mobile devices tend to have limited resources. Unfortunately at the moment there is no such solution on the market. Therefore, a company or authority at the moment should look around for two or more appropriate mobile security solutions that can be combined to achieve the best possible security level in accordance with their current security policies. portable mobile tablet devices threats risks vulnerabilities solutions protection countermeasures portabla mobila mobil surfplattor enheter hot risker sårbarheter lösningar skyddande motåtgärder Computer Systems Datorsystem Communication Systems Kommunikationssystem Telecommunications Telekommunikation
26	Etisk hackning av en smart foderautomat / Ethical hacking of a Smart Automatic Feed Dispenser Lokrantz, Julia January 2021 (has links) Sakernas internet (IoT) syftar till det nät av enheter som samlar och delar data över internet. De senaste åren har användandet av konsument-IoT ökat explosionsartat och åtföljts av en ökad oro kring säkerheten i dessa enheter, då många system visat sig ha bristande säkerhetsimplementeringar. Denna studie undersöker säkerheten i en smart foderautomat för husdjur och redogör för ekonomiska orsaker till förekomsten av sårbarheter. Metoden bygger på att hotmodellera foderautomaten med STRIDE- och DREAD-modellerna följt av en penetrationstestningsfas för några av de allvarligaste hoten. Resultatet visar på att foderautomaten Trixie TX9 har otillräcklig kryptering av nätverksnamn och lösenord till Wi-Fi, är sårbar mot flödesattacker och att analys av trafiken till/från enheten kan avgöra vilket tillstånd den är i. Vidare har foderautomaten flera öppna nätverkstjänster, där bland annat en Telnettjänst som kan nås genom svaga, hårdkodade inloggningsuppgifter som finns publicerade på internet. Ekonomiska orsaker till förekomsten av sårbarheter är främst asymmetrisk information och motstridande incitament. Det är idag svårt för tillverkare att ta betalt för säkerhet då marknaden drivs av snabba lanseringar och utökade funktioner till ett pressat pris. / Internet of things (IoT) refers to the web of connected devices that collect and share data through the internet. The use of consumer-IoT has increased dramatically in recent years, accompanying an increasing concern about the security of these devices as many systems have proven to have insufficient security measures. This study aims to investigate the security level of a smart food dispenser for pets, and account for the underlying economic reasons for the occurrences of vulnerabilities. The method used in this study consists of conducting threat modeling of the food dispenser using STRIDE as well as DREAD models. This is then followed by a penetration-testing phase for some of the more serious threats. The results indicate that the food-dispenser Trixie TX9 has insufficient encryption of network names and passwords, is susceptible to flooding-attacks, and analysis of the incoming/outgoing data traffic from the device can deduct which state it is currently in. Furthermore, the food dispenser has several open network services, Telnet is one among them, which can be accessed through weak, hardcoded credentials that are published on the internet. The economic reasons for these security weaknesses are asymmetrical information and misaligned economic incentives. Manufacturers struggle to charge consumers for an increased level of security as the main market driving factors are swift and regular product launches as well as an expansion of new features available at competitively low prices. Ethical hacking Internet of things Penetration testing Thread modeling STRIDE DREAD Smart food dispenser Security Vulnerabilities Etisk hackning Sakernas internet Penetrationstestning Hotmodellering STRIDE DREAD Smart foderautomat Säkerhet Sårbarheter Computer and Information Sciences Data- och informationsvetenskap
27	Static Analysis Of Client-Side JavaScript Code To Detect Server-Side Business Logic Vulnerabilities / Statisk analys av JavaScript-kod på klientsidan för att upptäcka sårbarheter i affärslogiken på serversidan van der Windt, Frederick January 2023 (has links) In the real world, web applications are crucial in various domains, from e-commerce to finance and healthcare. However, these applications are not immune to vulnerabilities, particularly in business logic. Detecting such vulnerabilities can be challenging due to the complexity and diversity of application functionality. Consequently, there is a growing need for automated tools and techniques to aid in identifying business logic vulnerabilities. This research study investigates the efficacy of static analysis techniques in detecting server-side business logic vulnerabilities through the analysis of client-side JavaScript code. The study explores various analysis techniques, including code parsing, data flow analysis as detection methods, and their application in identifying potential vulnerabilities. This thesis also identifies common flaws contributing to business logic vulnerabilities, such as insufficient input validation, insecure access controls, and flawed decision-making logic. The effectiveness of static analysis techniques in pinpointing server-side business logic vulnerabilities is evaluated, revealing promising results, particularly in detecting parameter manipulation vulnerabilities. Notably, the study discovered vulnerabilities in two live applications that could lead to severe financial problems, underscoring the real-world implications of these vulnerabilities. However, challenges such as false positives and the need for manual verification are also acknowledged. The study concludes by proposing improvements and future research directions, including exploring advanced techniques like machine learning and natural language processing and integrating dynamic analysis and real-world testing scenarios to enhance the accuracy and efficiency of static analysis. The findings contribute to the understanding of utilizing static analysis techniques for detecting server-side business logic vulnerabilities, offering insights for developing more robust and efficient vulnerability detection tools. / I den verkliga världen är webbapplikationer avgörande inom olika områden, från e-handel till finans och sjukvård. Dessa applikationer är dock inte immuna mot sårbarheter, särskilt inte i affärslogiken. Att upptäcka sådana sårbarheter kan vara en utmaning på grund av komplexiteten och mångfalden i applikationernas funktionalitet. Därför finns det ett växande behov av automatiserade verktyg och tekniker som kan hjälpa till att identifiera sårbarheter i affärslogiken. Denna forskningsstudie undersöker hur effektiva statiska analystekniker är för att upptäcka sårbarheter i affärslogiken på serversidan genom analys av JavaScript-kod på klientsidan. Studien utforskar olika analystekniker, inklusive kodparsing, dataflödesanalys som detektionsmetoder, och deras tillämpning för att identifiera potentiella sårbarheter. Avhandlingen identifierar också vanliga brister som bidrar till sårbarheter i affärslogiken, såsom otillräcklig validering av indata, osäkra åtkomstkontroller och bristfällig logik för beslutsfattande. Effektiviteten hos statiska analystekniker för att hitta sårbarheter i affärslogiken på serversidan utvärderas och visar på lovande resultat, särskilt när det gäller att upptäcka sårbarheter i parametermanipulation. I studien upptäcktes sårbarheter i två live-applikationer som kan leda till allvarliga ekonomiska problem, vilket understryker de verkliga konsekvenserna av dessa sårbarheter. Utmaningar som falska positiva resultat och behovet av manuell verifiering erkänns dock också. Studien avslutas med förslag på förbättringar och framtida forskningsinriktningar, inklusive utforskning av avancerade tekniker som maskininlärning och naturlig språkbehandling och integrering av dynamisk analys och verkliga testscenarier för att förbättra noggrannheten och effektiviteten hos statisk analys. Resultaten bidrar till förståelsen för att använda statiska analystekniker för att upptäcka sårbarheter i affärslogik på serversidan, och ger insikter för att utveckla mer robusta och effektiva verktyg för sårbarhetsdetektering. JavaScript Static Analysis Business Logic Vulnerabilities Client-side Fuzzing Black-box JavaScript statisk analys sårbarheter i affärslogiken klientsidan Fuzzing Black-box Computer Sciences Datavetenskap (datalogi) Computer Engineering Datorteknik Computer and Information Sciences Data- och informationsvetenskap
28	Mapping out the Key Security Components in Relational Databases (MK-SCoRe) : Enhancing the Security of Relational Database Technology / Kartläggning av Nyckelkomponenter för Säkerhet i Relationsdatabaser (MK-SCoRe) : Förbättring av Säkerheten i Relationsdatabasteknik Alobaidi, Murtadha, Trabulsiah, Abdullah January 2024 (has links) Relational database security has become an increasingly important issue for organizations worldwide in the current era of data-driven operations. The urgent need for an extensive knowledge of relational database security components in relational databases is addressed in this thesis. Database security is constantly improving, but there is still a lack of research that analyzes these important factors. Because of this gap, databases are not sufficiently secured from new cyber threats, which endangers its accessibility, confidentiality, and integrity. The problem that the thesis addresses is the lack of comprehensive research covering all key security components in relational databases which, presents a challenge for organizations seeking to comprehensively secure their database systems. The purpose of this thesis is to systematically map the key security components essential to relational databases. The goal is to assist organizations and Database professionals to secure their relational databases against diverse cyber threats. Using a qualitative and exploratory methodology, the research analyzes a wide range of literature on database security. The research offers a balanced and comprehensive perspective on the current security landscape in relational databases by integrating theoretical study with structured interviews. This method guarantees that all essential security components is fully investigated. The results of this thesis involve a detailed mapping of the key security components within relational databases, which are uniquely informed by a combination of academic research and empirical findings from structured interviews with Database security experts. This thesis analyzes these security components based on how well they address current security threats, how well they secure databases, and how well they can adapt to different organizational needs. / Säkerhet i relationsdatabaser har blivit en allt viktigare fråga för organisationer världen över i den nuvarande eran av datadriven verksamhet. I den här avhandlingen behandlas det akuta behovet av en omfattande kunskap om säkerhetskomponenter för relationsdatabaser i relationsdatabaser. Databassäkerheten förbättras ständigt, men det finns fortfarande en brist på forskning som analyserar dessa viktiga faktorer. På grund av denna brist är databaser inte tillräckligt skyddade mot nya cyberhot, vilket äventyrar deras tillgänglighet, konfidentialitet och integritet. Problemet som avhandlingen tar upp är bristen på omfattande forskning som täcker alla viktiga säkerhetskomponenter i relationsdatabaser, vilket utgör en utmaning för organisationer som vill säkra sina databassystem på ett heltäckande sätt. Syftet med denna avhandling är att systematiskt kartlägga de viktigaste säkerhetskomponenterna som är väsentliga för relationsdatabaser. Målet är att hjälpa organisationer och databasspecialister att säkra sina relationsdatabaser mot olika cyberhot. Med hjälp av en kvalitativ och explorativ metod analyseras ett brett spektrum av litteratur om databassäkerhet. Forskningen erbjuder ett balanserat och omfattande perspektiv på det nuvarande säkerhetslandskapet i relationsdatabaser genom att integrera teoretiska studier med strukturerade intervjuer. Denna metod garanterar att alla väsentliga säkerhetskomponenter undersöks fullständigt. Resultatet av denna avhandling innebär en detaljerad kartläggning av de viktigaste säkerhetskomponenterna inom relationsdatabaser, som är unikt informerade av en kombination av akademisk forskning och empiriska resultat från strukturerade intervjuer med databassäkerhetsexperter. Denna avhandling analyserar dessa säkerhetskomponenter utifrån hur väl de hanterar aktuella säkerhetshot, hur väl de säkrar databaser och hur väl de kan anpassas till olika organisatoriska behov. Relational Database Security Database Security Cyber Threats Data Protection Access Control Database Vulnerabilities Encryption Network Security. Säkerhet i Relationsdatabaser Databassäkerhet Cyberhot Datasäkerhet Åtkomstkontroll Sårbarheter i Databaser Kryptering Nätverkssäkerhet. Computer and Information Sciences Data- och informationsvetenskap
29	Context-aware security testing of Android applications : Detecting exploitable vulnerabilities through Android model-based security testing / Kontextmedveten säkerhetstestning av androidapplikationer : Upptäckande av utnyttjingsbara sårbarheter genom Android modellbaserad säkerhetstestning Baheux, Ivan January 2023 (has links) This master’s thesis explores ways to uncover and exploit vulnerabilities in Android applications by introducing a novel approach to security testing. The research question focuses on discovering an effective method for detecting vulnerabilities related to the context of an application. The study begins by reviewing recent papers on Android security flaws affecting application in order to guide our tool creation. Thus, we are able to introduce three Domain Specific Languages (DSLs) for Model-Based Security Testing (MBST): Context Definition Language (CDL), Context-Driven Modelling Language (CDML), and Vulnerability Pattern (VPat). These languages provide a fresh perspective on evaluating the security of Android apps by accounting for the dynamic context that is present on smartphones and can greatly impact user security. The result of this work is the development of VPatChecker[1], a tool that detects vulnerabilities and creates abstract exploits by integrating an application model, a context model, and a set of vulnerability patterns. This set of vulnerability patterns can be defined to represent a wide array of vulnerabilities, allowing the tool to be indefinitely updated with each new CVE. The tool was evaluated on the GHERA benchmark, showing that at least 38% (out of a total of 60) of the vulnerabilities in the benchmark can be modelled and detected. The research underscores the importance of considering context in Android security testing and presents a viable and extendable solution for identifying vulnerabilities through MBST and DSLs. / Detta examensarbete utforskar vägar för att hitta och utnyttja sårbarheter i Android-appar genom att introducera ett nytt sätt att utföra säkerhetstestning. Forskningsfrågan fokuserar på att upptäcka en effektiv metod för att detektera sårbarheter som kan härledas till kontexten för en app. Arbetet inleds med en översikt av nyliga forskningspublikationer om säkerhetsbrister som påverkar Android-appar, vilka vägleder utvecklingen av ett verktyg. Vi introducerar tre domänspecifika språk (DSL) för modellbaserad testning (MBST): CDL, CDML och VPat. Dessa språk ger ett nytt perspektiv på säkerheten för Android-appar genom att ta hänsyn till den dynamiska kontext som finns på smarta mobiltelefoner och som kan starkt påverka användarsäkerheten. Resultatet av arbetet är utveckling av VPatChecker[1], ett verktyg som upptäcker sårbarheter och skapar abstrakta sätt att utnyttja dem i en programmodell, en kontextmodell, och en mängd av sårbarhetsmönster. Denna sårbarhetsmönstermängd kan defineras så att den representerar ett brett spektrum av sårbarheter, vilket möjliggör för verktyger att uppdateras med varje ny CVE.Verktyget utvärderades på datamängden GHERA, vilket visade att 38% (av totalt 60) av alla sårbarheter kunde modelleras och upptäckas. Arbetet understryker vikten av att ta hänsyn till kontext i säkerhetstestning av Android-appar och presenterar en praktisk och utdragbar lösning för att hitta sårbarheter genom MBST and DSLs. / Ce mémoire de maîtrise explore les moyens de découvrir et d’exploiter les vulnérabilités des applications Android en introduisant une nouvelle approche des tests de sécurité. La question de recherche se concentre sur la découverte d’une méthode efficace pour détecter les vulnérabilités liées au contexte d’une application. L’étude commence par l’examen de documents récents sur les failles de sécurité des applications Android afin de guider la création de notre outil. Nous sommes ainsi en mesure d’introduire trois Langages dédié (DSL) pour des Tests de Sécurité Basés sur les Modèles (MBST) : Langage de Définition de Contexte (CDL), Langage de Modélisation Déterminée par le Contexte (CDML) et Motif de Vulnérabilité (VPat). Ces langages offrent une nouvelle perspective sur l’évaluation de la sécurité des applications Android en tenant compte du contexte dynamique présent sur les smartphones et qui peut avoir un impact important sur la sécurité de l’utilisateur. Le résultat de ce travail est le développement de VPatChecker[1], un outil qui détecte les vulnérabilités et crée des exploits abstraits en intégrant un modèle d’application, un modèle de contexte et un ensemble de modèles de vulnérabilité. Cet ensemble de modèles de vulnérabilité peut être défini pour représenter un large éventail de vulnérabilités, ce qui permet à l’outil d’être indéfiniment mis à jour avec chaque nouveau CVE. L’outil a été testé sur le benchmark GHERA[2] et montre qu’un total d’au moins 38% (sur un total de 60) des vulnérabilités peut être modélisé et détecté. La recherche souligne l’importance de prendre en compte le contexte dans les tests de sécurité Android et présente une solution viable et extensible pour identifier les vulnérabilités par le biais de MBST et DSLs. Android Application Security Vulnerability Detection Context-Awareness Model-Based Security Testing Domain Specific Language Sécurité des Applications Android Détection de Vulnérabilités Sensibilité au Contexte Langage Dédiés Android-applikationssäkerhet Upptäckt av sårbarheter Kontextmedvetenhet Modellbaserad säkerhetstestning Domänspecifikt språk Computer Sciences Datavetenskap (datalogi) Computer Engineering Datorteknik Computer and Information Sciences Data- och informationsvetenskap

Search results