روش آزمون امنیتی پویای لایه کسب و کار برنامه کاربردی وب برای شناسایی آسیب پذیری برنامه کاربردی وب در برابر حملات منع خدمت سیلابی

حملات منع خدمت تهدید جدی برای امنیت برنامه های کاربردی وب محسوب می شوند. امروزه حملات به لایه کسب و کار منتقل شده اند. ابزارهای تحلیل آسیب پذیری قادر نیستند آسیب پذیری های لایه کسب و کار (آسیب پذیری های مربوط به منطق) برنامه کاربردی را کشف کنند. در این تحقیق راهکار جعبه سیاه برای آزمون امنیتی پویا به منظور شناسایی آسیب پذیری لایه کسب و کار برنامه کاربردی در مقابل حملات منع خدمت سیلابی را با نام BLDAST پیشنهاد می دهیم. BLDAST در سه مرحله به شناسایی آسیب پذیری می پردازد: ابتدا فرایندهای کسب و کاری برنامه را استخراج می نماید. سپس بر اساس معیارهای ارایه شده سربار فرایندهای کسب و کار اندازه گیری می شود و فرایندهای کسب و کار سنگین را انتخاب می کند و در نهایت سناریو آزمونمنع خدمت لایه کسب و کار را اجرا می کند. آزمایش ها بر روی چهار برنامه کاربردی پرکاربرد نشان داد، BLDAST قادر است آسیب پذیری های لایه کسب و کار این برنامه ها را شناسایی کند. علاوه بر این نشان دادیم که حملات لایه کسب و کار می توانند با تنها مصرف یک درصد منابع در قیاس با حملات لایه های دیگر موفق به شکست سیستم هدف شوند واز این رو بسیار خطرناک هستند که BLDAST قادر به شناسایی آسیب پذیری برنامه های کاربردی در برابر این حملات است.