روشی برای کشف جریان های اطلاعاتی در نرم افزار به منظور تشخیص آسیب پذیری تزریق نویسه ذخیره شده از طریق وبگاه
محل انتشار: سیزدهمین کنفرانس بین المللی انجمن رمز ایران
سال انتشار: 1395
نوع سند: مقاله کنفرانسی
زبان: فارسی
مشاهده: 500
فایل این مقاله در 6 صفحه با فرمت PDF قابل دریافت می باشد
- صدور گواهی نمایه سازی
- من نویسنده این مقاله هستم
استخراج به نرم افزارهای پژوهشی:
شناسه ملی سند علمی:
ISCC13_010
تاریخ نمایه سازی: 5 آبان 1397
چکیده مقاله:
وجود جریان های اطلاعاتی بین کاربران سرچشمه ی برخی آسیب پذیری های امنیتی در نرم افزارها است. این جریان ها می تواند زمینه ی نقض خط مشی های کنترل دسترسی و عدم رعایت حریم خصوصی کاربران را فراهم آورد. مهمتر این که این جریان ها عامل آسیب پذیری خطرناک و متداول تزریق نویسه ذخیره شده از طریق وبگاه (Stored XSS) است. کشف آسیب پذیری XSS ذخیره شده بسیار مشکل بوده و پویشگرهای آسیب پذیری نیز نرخ تشخیص بسیار کمی در هنگام مواجهه با این دسته از آسیب پذیری ها دارند. هدف این مقاله ارایه روشی بصورت جعبه سیاه است که بتواند جریان های اطلاعاتی میان کاربران مختلف یکنرم افزار تحت وب را تشخیص داده تا به کمک آن نقاط آسیب پذیر نسبت به XSS ذخیره شده آشکار شوند.روش پیشنهادی میان نقش های مختلف موجود در برنامه تفاوت قایل شده و مبتنی بر خزش کامل صفحات به منظور ایجاد گراف برنامه و جستجو در آن است. بدین منظور ابتدا تمام نقاط دریافت ورودی در صفحات مختلف برنامه پیدا شده و می بایست با داده های مناسب، مقدار گیرند. سپس بررسی می شود که کدامیک از این ورودی ها به سمت کاربران دیگر جریان پیدا می کند و آیا وجود این جریان مخاطره آمیز خواهد بود یا خیر. روش پیشنهادی پیاده سازی شده و نتایج حاصل حاکی از ثمربخش بودن آن در کشف آسیب پذیری ذکر شده است.
کلیدواژه ها:
نویسندگان
حامد سلیمانی
پژوهشکده امنیت اطلاعات و ارتباطات، مجتمع فناوری اطلاعات، ارتباطات و امنیت، دانشگاه صنعتی مالک اشتر، تهران
محمدعلی هادوی
پژوهشکده امنیت اطلاعات و ارتباطات، مجتمع فناوری اطلاعات، ارتباطات و امنیت، دانشگاه صنعتی مالک اشتر، تهران
حسن مختاری سنگچی
پژوهشکده امنیت اطلاعات و ارتباطات، مجتمع فناوری اطلاعات، ارتباطات و امنیت، دانشگاه صنعتی مالک اشتر، تهران