استفاده از روش تحلیل همزمان ایستا و پویای SAD، جهت کشف آسیب پذیری های امنیتی برنامه های تحت وب

سال انتشار: 1387
محل انتشار: دومین همایش ملی مهندسی برق کامپیوتر و فناوری اطلاعات
کد COI اختصاصی: CEIC02_081
زبان مقاله: فارسی
تعداد مشاهده: 2443

نویسندگان

دانشگاه آزاد اسلامی واحد قزوین

دانشکده مهندسی کامپیوتر و فناوری اطلاعات ، دانشگاه صنعتی امیرکبیر، ت

چکیده

یکی از معظلات در بحث امنیت، آسیب پذیریهای امنیتی موجود در برنامه های کاربردی است . حجم وسیعی از آسیب پذیریهای نرم افزار ، بر اثر عدم اعتبار سنجی صحیح رفتار کاربر و تزریق داده های آلوده به ورودیهای برنامه ایجاد می گردد. در این مقاله به ارائه یک روش ترکیبی از تحلیل ایستا و پویای SAD برای بررسی کد برنامه جهت تشخیص حملات XSS و SQLI پرداخته می شود. این روش از دو فاز ایستا و پویا تشکیل شده است. در فاز ایستا، نقاطی که احتمال آسیب پذیری بر اثر عدم اعتبار سنجی دقیق ورودیها وجود دارد مشخص شده و در فاز پویا الگوریتم کشف ، جهت تشخیص آسیب پذیری های XSS و SQLI به نقاط مشکوک به آسیب پذیریها در فاز ایستا ، داده های علامتدار تزریق کرده و نشت آنها را به حفره های برنامه بررسی می کند. با این روش، آسیب پذیریهای برنامه، با توجه به تحلیل نقاطی که احتمال آسیب پذیری در آنها وجود دارد پیدا می شوند. نتایج عملی این مقاله بر روی برنامه های نمونه ، نشان می دهد که دقت کشف آسیب پذیری های XSS و SQLI نسبت به کارهای قبلی افزایش یافته و نرخ false positive کاهش می یابد.

کلیدواژه ها

آسیب پذیریهای امنیتی ، امنیت برنامه های کاربردی ، تحلیل ایستا، تحلیل پویا ، SQL Injection، Cross site scripting

مقالات مرتبط جدید

اطلاعات بیشتر در مورد COI

COI مخفف عبارت CIVILICA Object Identifier به معنی شناسه سیویلیکا برای اسناد است. COI کدی است که مطابق محل انتشار، به مقالات کنفرانسها و ژورنالهای داخل کشور به هنگام نمایه سازی بر روی پایگاه استنادی سیویلیکا اختصاص می یابد.

کد COI به مفهوم کد ملی اسناد نمایه شده در سیویلیکا است و کدی یکتا و ثابت است و به همین دلیل همواره قابلیت استناد و پیگیری دارد.