روشی جدید برای تشخیص ایستای آسیب پذیری های امنیتی در برنامه های کاربردی تحت وب

صادقی یخدانی, مائده; صرام, مهدی آقا; ادیب نیا, فضل الله

تعداد نشریات	39
تعداد شماره‌ها	1,169
تعداد مقالات	8,429
تعداد مشاهده مقاله	6,294,777
تعداد دریافت فایل اصل مقاله	3,542,198

	روشی جدید برای تشخیص ایستای آسیب پذیری های امنیتی در برنامه های کاربردی تحت وب
پدافند الکترونیکی و سایبری
مقاله 4، دوره 2، شماره 4، بهمن 1393، صفحه 65-74 اصل مقاله (6.02 M)
نویسندگان
مائده صادقی یخدانی^* ¹؛ مهدی آقا صرام²؛ فضل الله ادیب نیا²
¹کارشناس ارشد مهندسی فناوری اطلاعات، دانشکده مهندسی برق و کامپیوتر، دانشگاه یزد
²استادیار، دانشکده مهندسی برق و کامپیوتر، دانشگاه یزد
تاریخ دریافت: 14 مرداد 1393، تاریخ بازنگری: 13 تیر 1402، تاریخ پذیرش: 28 شهریور 1397
چکیده
چکیده امروزه به دلیل افزایش استفاده از برنامه های کاربردی تحت وب و ذخیره و تبادل اطلاعات حساس و مهم توسط این دسته از برنامه ها، بررسی و رفع آسیب پذیری های امنیتی آنها به جهت تامین امنیت در برابر سوء استفاده نفوذگران دارای اهمیت بالایی میباشد. تحلیل ایستا در بیشتر موارد به منظور تضمین امنیت و تشخیص آسیب پذیری های امنیتی مورد استفاده قرار می گیرد؛ در حالی که هدف اصلی تحلیل پویا، تشخیص و اشکال زدایی خطاهاست. در این مقاله یک روش نوین ایستا ارائه می گردد که در آن با استفاده از تحلیل جریان داده احتمالی بر روی گراف احتمال آسیب پذیری، آسیب پذیری های رایج در برنامه های کاربردی تحت وب شناسایی می شوند. گراف احتمال آسیب پذیری برای بررسی مسیرهایی با احتمال آسیب پذیری بیشتر و تحلیل جریان داده احتمالی برای افزایش دقت تشخیص آسیب پذیری طراحی شده اند. نتایج آزمایشها بر روی چند برنامه کاربردی تحت وب و مقایسه نتیجه روش پیشنهادی با روش های دیگر، نشان می دهد الگوریتم ارائه شده در بهبود تشخیص آسیب پذیریها، عملکرد قابل قبولی دارد.
کلیدواژه‌ها
تشخیص ایستای آسیب‌پذیری‌ها؛ برنامه های کاربردی تحت وب؛ گراف احتمال آسیب‌پذیری؛ تحلیل جریان داده احتمالی

مراجع
[1] L. D. P. Nico, “Authomated Security Review of PHP Web Applications with Source Code Analysis,” Thesis, University of Groningen, pp. 14-14, 2010. [2] C. Korscheck, “Automatic Detection of Second- Order Cross-Site Scripting Vulnerabilities,” Thesis, University of Tubingen, pp. 2-4, 2010. [3] J. Nenad, K. Christopher, and K. Engin, “Static analysis for detecting taint-style vulnerabilities in web applications,” Journal of Computer Security, vol. 18, no. 5, 2010. [4] L. Benjamin and S. L. Monica, “Finding Security Vulnerabilities in Java Applications with Static Analysis,” in USENIX Security Symposium, vol. 14, pp. 18-18, 2005. [5] N. Anh, G. Salvatore, G. Doug, Sh. Jeff, and E. David, “Authomatically hardening web applications using precise tainting,” Security and Privacy in the Age of Ubiquitous Computing, Springer US, pp. 295-307, 2005. [6] H. Vivek, Ch. Deepak, and F. Michael, “Dynamic taint propagation for java,” in Annual Computer Security Applications Conference, vol. 21, pp. 303 -311, 2005. [7] K. Adam, J. G. Philip, J. Karthick, and D. E. Michael, “Authomatic Creation of SQL Injection and Cross-Site Scripting Attacks,” in International Conference on Software Engineering, vol. 31, pp. 199-209, 2009. [8] G. H. William, O. Alessandro, “AMNESIA: Analysis and Monitoring for NEutralizing SQLInjection Attacks,” in IEEE/ACM International Conference on Authomated Software Engineering, vol. 20, pp. 174-183, 2005. [9] “RIPS-A static source code analyser for vulnerabilities in PHP scripts,” http://ripsscanner. sourceforge.net/ 2011. [10] “phc – the open source PHP compiler,” [Online], Version 3.0.1, http://www.phpcompiler.org/July 2013. [11] “OWASP Top Ten Project,” [Online], https://www.owasp.org/index.php/ Category:OWASP_Top_Ten_Project/June 2013. [12] M. Ghorbanzadeh and M. R. Shahriari, “Static detection of web applications vulnerabilities using inverse data flow analysis for covering mejority of sensitive points to vulnerability,” In international ISC conferenec 9, Tehran, 1391. (In persian)
آمار تعداد مشاهده مقاله: 350 تعداد دریافت فایل اصل مقاله: 228

آمار

روشی جدید برای تشخیص ایستای آسیب پذیری های امنیتی در برنامه های کاربردی تحت وب