محمدجعفر نژادقمی - دانشگاه فردوسی مشهد
سیدامین حسینی سنو - گروه مهندسی کامپیوتر، دانشگاه فردوسی مشهد

توسعه و پیشرفت برنامه های تحت وب، چالش هایی را در رابطه با بررسی خودکار امنیت این برنامه ها به وجود آورده است. در واقع ظهورفناوری هایی مانند ارتباط ناهمگام برنامه ی وب با سرور، سبب شده است تا خزنده های سنتی فاقد کارایی لازم برای خزش برنامه هایغنی شده ی تحت وب باشند. برای رفع این چالش، خزنده های مبتنی بر مدل ارائه شدند. این خزنده ها در حال حاضر در حال آزمایش هستندو هیچ یک از ابزارهای کاربردی از آنها استفاده نمی کنند. هیچ یک از کارهای انجام شده در زمینه ی خزش مبتنی بر مدل، با نگاه امنیتینبوده است و در نتیجه مدل های ارائه شده از برنامه های وب، برای انجام تست های امنیتی و کشف آسیب پذیری ها بهینه نمی باشند. در اینمقاله یک مدل ریسک برای خزش برنامه های غنی شده ی وب ارائه شده است. در این مدل، خزنده سعی می کند تا حالت های آسیب پذیر راقبل از حالت های دیگر کشف کند. بدین ترتیب چنانچه به دلایلی مانند زمان محدود، خزنده نتواست خزش را تا انتها انجام دهد، حالت هایکشف شده، از نظر امنیتی، از اهمیت بیشتری برخوردار خواهند بود. به منظور ارزیابی کارایی راهبردهای خزش مختلف، هزینه ی خزش رابر حسب تعداد رویدادهای اجرا شده و همچنین تعداد بارگذاری های مجدد انجام شده در طول خزش، محاسبه می کنیم. نتیجه ی آزمایش هابه همراه تحلیل آنها در انتهای مقاله نشان می دهد که راهبرد پیشنهادی با صرف هزینه ی کمتر توانسته است همه ی حالت های آسیب پذیررا کشف کند.

خزش، برنامه های غنی شده ی تحت وب، امنیت، ریسک