ورود
مقالات فارسیISIکنفرانسهاژورنالها

بهره برداری خودکار آسیب پذیری تزریق اسکریپت با استفاده از تکامل گرامری

محل انتشار: فصلنامه پدافند الکترونیکی و سایبری، دوره: 9، شماره: 2
سال انتشار: 1400
نوع سند: مقاله ژورنالی
زبان: فارسی
مشاهده: 301

فایل این مقاله در 20 صفحه با فرمت PDF قابل دریافت می باشد

استخراج به نرم افزارهای پژوهشی:

لینک ثابت به این مقاله:
https://civilica.com/doc/1250141

شناسه ملی سند علمی:

JR_PADSA-9-2_009

تاریخ نمایه سازی: 12 مرداد 1400

چکیده مقاله:

فازرها می توانند از طریق تولید ورودی های آزمون و اجرای نرم افزار با این ورودی ها، آسیب پذیری ها را در نرم افزار آشکار کنند. رویکرد فازرهای مبتنی بر گرامر، جستجو در دامنه داده های قابل تولید توسط گرامر به منظور یافتن یک بردار حمله با قابلیت بهره برداری از آسیب پذیری است. چالش این فازرها، دامنه جستجوی بسیار بزرگ یا نامحدود هست و یافتن پاسخ در این دامنه یک مسئله سخت است. تکامل گرامری یکی از الگوریتم های تکاملی است که می تواند برای حل مسئله جستجو از گرامر استفاده نماید. در این تحقیق با استفاده از تکامل گرامری یک رویکرد جدید جهت تولید داده ورودی آزمون فاز به منظور بهره برداری از آسیب پذیری تزریق اسکریپت معرفی شده است. به این منظور یک روش استنتاج گرامر تزریق اسکریپت از روی بردارهای حمله ارائه شده است و یک تابع محاسبه برازندگی جهت هدایت تکامل گرامری برای جستجوی بهره برداری نیز ارائه گردیده است. این روش، بهره برداری خودکار از آسیب پذیری تزریق اسکریپت را با رویکرد جعبه سیاه محقق ساخته است. با روش این تحقیق ۱۹% بهبود در تعداد اکسپلویت های کشف شده نسبت به روش جعبه سفید ناوکس و ابزار جعبه سیاه زپ و بدون هیچ اتهام غلط، به دست آمده است.

کلیدواژه ها:

آسیب پذیری ، بهره برداری از آسیب پذیری ، تزریق اسکریپت یا XSS ، تکامل گرامری ، فازر ، آزمون فاز

نویسندگان

علی مقدسی

سایبری، دانشکده جنگال، دانشگاه امام حسین(ع)، تهران

مسعود باقری

استادیار گروه کامپیوتر، دانشگاه جامع امام حسین(ع)

مراجع و منابع این مقاله:

لیست زیر مراجع و منابع استفاده شده در این مقاله را نمایش می دهد. این مراجع به صورت کاملا ماشینی و بر اساس هوش مصنوعی استخراج شده اند و لذا ممکن است دارای اشکالاتی باشند که به مرور زمان دقت استخراج این محتوا افزایش می یابد. مراجعی که مقالات مربوط به آنها در سیویلیکا نمایه شده و پیدا شده اند، به خود مقاله لینک شده اند :
  • OWASP-۲۰۱۷-Top-۱۰, ۲۰۱۷. Available: https://www.owasp.org/images/۷/۷۲/OWASP_Top_۱۰-۲۰۱۷_(en).pdf[۲] A. Avancini and M. Ceccato, ”Comparison ...
  • X. Guo, S. Jin, and Y. Zhang, “XSS Vulnerability Detection ...
  • F. Duchene, R. Groz, S. Rawat, and J.-L. Richier, “XSS ...
  • J. Yang and Q. Tang, “RTF Editor XSS Fuzz Framework,” ...
  • J. Kronjee, A. Hommersom, and H. Vranken, “Discovering software vulnerabilities ...
  • M. E. Ruse and S. Basu, “Detecting cross-site scripting vulnerability ...
  • M. A. Ahmed and F. Ali, “Multiple-path testing for cross ...
  • A. W. Marashdih, Z. F. Zaaba, and H. K. Omer, ...
  • R. Wang, G. Xu, X. Zeng, X. Li, and Z. ...
  • S. Kals, E. Kirda, C. Kruegel, and N. Jovanovic, “Secubat: ...
  • A. Kieyzun, P. J. Guo, K. Jayaraman, and M. D. ...
  • H. Homaei and H. R. Shahriari, “Athena: A framework to ...
  • A. Alhuzali, R. Gjomemo, B. Eshete, and V. Venkatakrishnan, “NAVEX: ...
  • H.-Y. Shih, H.-L. Lu, C.-C. Yeh, H.-C. Hsiao, and S.-K. ...
  • A. Alhuzali, B. Eshete, R. Gjomemo, and V. Venkatakrishnan, “Chainsaw: ...
  • Y. Li, B. Chen, M. Chandramohan, S.-W. Lin, Y. Liu, ...
  • H. C. Huang, Z. K. Zhang, H. W. Cheng, and ...
  • M. Mohammadi, B. Chu, and H. R. Lipford, “Detecting Cross-Site ...
  • M. Mohammadi, B. Chu, H. R. Lipford, and E. Murphy-Hill, ...
  • T. Zhushou, Z. Haojin, C. Zhenfu, and Z. Shuai, “L-WMxD: ...
  • Y. H. Wang, C. H. Mao, and H. M. Lee, ...
  • V. Atlidakis, R. Geambasu, P. Godefroid, M. Polishchuk, and B. ...
  • M. Eberlein, Y. Noller, T. Vogel, and L. Grunske, “Evolutionary ...
  • M. Z. Nasrabadi and S. Parsa, “Automatic Test Data Generation ...
  • O. Caño Bellatriu, “Penetration testing automation system,” Barcelona School of ...
  • C. Ryan, M. O’Neill, and J. Collins, “Grammatical evolution: Solving ...
  • M. O'Neill and C. Ryan, “Grammatical evolution,” Trans. Evol. Comp, ...
  • C. Ryan, “Grammatical evolution tutorial,” presented at the Proceedings of ...
  • M. Fenton, J. McDermott, D. Fagan, S. Forstenlechner, E. Hemberg, ...
  • A. Sołtysik-Piorunkiewicz and M. Krysiak, “The Cyber Threats Analysis for ...
  • N. H. Nguyen, V. H. Le, V. O. Phung, and ...
  • C. Lv, L. Zhang, F. Zeng, and J. Zhang, “Adaptive ...
  • C. G. Nevill-Manning and I. H. Witten, “Identifying hierarchical structure ...
  • C. D. L. Higuera, “Grammatical Inference Learning Automata and Grammars,” ...
  • A. Avancini and M. Ceccato, “Circe: A grammar-based oracle for ...
  • J. Hunt and T. Szymanski, “A fast algorithm for computing ...
  • S. Bennetts, “Owasp zed attack proxy,” App. Sec. USA, ۲۰۱۳ ...
    • نمایش کامل مراجع