Augelli, Federico
(2022)
Ricerca delle vulnerabilità e Penetration Test per Architetture Serverless.
[Laurea], Università di Bologna, Corso di Studio in
Informatica [L-DM270], Documento ad accesso riservato.
Documenti full-text disponibili:
![[img]](http://amslaurea.unibo.it/style/images/fileicons/application_pdf.png) |
Documento PDF (Thesis)
Full-text accessibile solo agli utenti istituzionali dell'Ateneo
Disponibile con Licenza: Salvo eventuali più ampie autorizzazioni dell'autore, la tesi può essere liberamente consultata e può essere effettuato il salvataggio e la stampa di una copia per fini strettamente personali di studio, di ricerca e di insegnamento, con espresso divieto di qualunque utilizzo direttamente o indirettamente commerciale. Ogni altro diritto sul materiale è riservato
Download (1MB)
| Contatta l'autore
|
Abstract
Il lavoro di tesi proposto è volto allo studio delle architetture Serverless, strutture che permettono agli sviluppatori di comporre facilmente applicazioni distribuite su molti servizi all’interno di un cloud, senza la necessità di gestire il server. Più nello specifico sono state studiate le FaaS (Function-as-a-Service), un modello di elaborazione cloud basato su eventi in cui il codice viene distribuito in container gestiti dalla piattaforma, e successivamente eseguito on-demand. A seguito di una prima parte di ricerca dello stato dell'arte, l'attenzione si è spostata sulla ricerca di vulnerabilità nel contesto del servizio OpenFaaS, un framework open-source che permette agli sviluppatori di distribuire facilmente funzioni e microservizi. Il deployment è stato fatto faasd, quest’ultimo è una semplificazione di OpenFaaS, usa le stesse componenti e lo stesso ecosistema di OpenFaaS ma usa Containerd al posto di Kubernetes. Dopo una prima fase di installazione e log-in il lavoro si è concentrato nelle varie metodologie di penetration test, nonché di ricerca delle vulnerabilità di sicurezza associate a tale paradigma. In informatica, il penetration test è il processo operativo di analisi o valutazione della sicurezza di un sistema o di una rete, simulando l'attacco di un potenziale utente malintenzionato. Nell'ultima fase sono stati condotti vari tentativi di attacco al sistema OpenFaaS tramite l'ausilio di alcuni tool. Inizialmente è stata fatta un'analisi della rete e del traffico tramite tool quali NMAP e Wireshark, per comprenderne meglio la struttura e come faasd creasse le funzioni a partire dai container. Infine, tramite OpenFaaS sono state create delle funzioni per testare la sicurezza e l'affidabilità di quest'ultima. In particolare, le funzioni indagano all'interno dei container al fine di comprendere la possibilità di eseguire code injection e rilevare possibili dati sensibili nel filesystem dell'immagine Docker così come nelle variabili d'ambiente.
Abstract
Il lavoro di tesi proposto è volto allo studio delle architetture Serverless, strutture che permettono agli sviluppatori di comporre facilmente applicazioni distribuite su molti servizi all’interno di un cloud, senza la necessità di gestire il server. Più nello specifico sono state studiate le FaaS (Function-as-a-Service), un modello di elaborazione cloud basato su eventi in cui il codice viene distribuito in container gestiti dalla piattaforma, e successivamente eseguito on-demand. A seguito di una prima parte di ricerca dello stato dell'arte, l'attenzione si è spostata sulla ricerca di vulnerabilità nel contesto del servizio OpenFaaS, un framework open-source che permette agli sviluppatori di distribuire facilmente funzioni e microservizi. Il deployment è stato fatto faasd, quest’ultimo è una semplificazione di OpenFaaS, usa le stesse componenti e lo stesso ecosistema di OpenFaaS ma usa Containerd al posto di Kubernetes. Dopo una prima fase di installazione e log-in il lavoro si è concentrato nelle varie metodologie di penetration test, nonché di ricerca delle vulnerabilità di sicurezza associate a tale paradigma. In informatica, il penetration test è il processo operativo di analisi o valutazione della sicurezza di un sistema o di una rete, simulando l'attacco di un potenziale utente malintenzionato. Nell'ultima fase sono stati condotti vari tentativi di attacco al sistema OpenFaaS tramite l'ausilio di alcuni tool. Inizialmente è stata fatta un'analisi della rete e del traffico tramite tool quali NMAP e Wireshark, per comprenderne meglio la struttura e come faasd creasse le funzioni a partire dai container. Infine, tramite OpenFaaS sono state create delle funzioni per testare la sicurezza e l'affidabilità di quest'ultima. In particolare, le funzioni indagano all'interno dei container al fine di comprendere la possibilità di eseguire code injection e rilevare possibili dati sensibili nel filesystem dell'immagine Docker così come nelle variabili d'ambiente.
Tipologia del documento
Tesi di laurea
(Laurea)
Autore della tesi
Augelli, Federico
Relatore della tesi
Correlatore della tesi
Scuola
Corso di studio
Ordinamento Cds
DM270
Parole chiave
architetture Serverless,cloud,FaaS,Function-as-a-Service,container,OpenFaaS,microservizi,faasd,Containerd,penetration test,vulnerabilità,sicurezza,attacco,code injection,wireshark,docker
Data di discussione della Tesi
13 Luglio 2022
URI
Altri metadati
Tipologia del documento
Tesi di laurea
(NON SPECIFICATO)
Autore della tesi
Augelli, Federico
Relatore della tesi
Correlatore della tesi
Scuola
Corso di studio
Ordinamento Cds
DM270
Parole chiave
architetture Serverless,cloud,FaaS,Function-as-a-Service,container,OpenFaaS,microservizi,faasd,Containerd,penetration test,vulnerabilità,sicurezza,attacco,code injection,wireshark,docker
Data di discussione della Tesi
13 Luglio 2022
URI
Statistica sui download
Gestione del documento:
Login