Kartläggning, demonstration och hantering av vanliga sårbarheter i populära webbservrar

Sammanfattning: En potentiell risk med att världen blir mer digitaliserad är att mängden sårbara system ökar. En konsekvens av det är att fler privatpersoner, organisationer och företag faller offer för den ökande cyberbrottsligheten. Osäkerhetsdemonstrationer har som syfte att utbilda och sprida kunskap och kännedom om osäkerheter kopplade till IT-system genom att förklara och demonstrera IT-sårbarheter. För att en osäkerhetsdemonstration ska vara värdefull, krävs att den demonstrerar relevanta, intressanta och lärorika sårbarheter i system som potentiella deltagare kan relatera till. De populära webbservrarna Apache HTTP och Nginx utgör runt 65% av marknaden för webbservermjukvaror och driver majoriteten av alla webbsidor på nätet. Sårbarheter som förekommer i dessa två mjukvaror medför därmed en överhängande risk för de miljoner användare som surfar på nätet men utgör också en lämplig grund att forma osäkerhetsdemonstrationer kring.  I detta examensarbete kartlades de mest förekommande sårbarhetstyperna i webbserver- mjukvarorna Apache HTTP och Nginx genom hämtningen, filtreringen och analysen av information relaterat till drygt 200 000 rapporterade sårbarheter. Resultatet visar inte bara att fem sårbarhetstyper: CWE-20, CWE-200, CWE-22, CWE-79 och CWE-787 står för nästan 25% av alla rapporterade sårbarheter i Apache HTTP och Nginx, utan också att dessa sårbarhetstyper är vanligt förekommande i andra mjukvaror också. Vidare visar resultatet att även om antalet rapporterade sårbarheter varje år drastiskt ökat de senaste 30 åren, har allvarlighetsgraden hos sårbarheter legat på ungefär samma nivåer. En djupare undersökning av de mest förekommande sårbarheterna genomfördes, för att få en tydlig förståelse av deras orsaker, åtgärder och konsekvenserna av deras utnyttjande.  Baserat på resultatet kunde två Proof-of-Concept osäkerhetsdemonstrationer konstrueras, vilka hade en grund i vanligt förekommande, relevanta och intressanta sårbarheter. Syftet med osäkerhetsdemonstrationerna var att i framtiden kunna vidareutvecklas och tillämpas i utbildning relaterad till cybersäkerhet. Via en utvärdering, där flera experter inom cybersäkerhetskurser intervjuades, kunde osäkerhetsdemonstrationernas värde, relevans och potential för vidareutveckling bedömas. Resultatet från utvärderingen visar att de konstruerade osäkerhetsdemonstrationerna uppfyller sitt syfte och att de har hög potential för vidareutveckling. Detta tack vare osäkerhetsdemonstrationerna mångsidighet och anpassningsbarhet gällande målgrupp, komplexitet och graden av visuell återkoppling.