تشخیص آسیب پذیری های منشا حمله ی تزریق SQL در صفحات وب از طریق URL

سال انتشار: 1397
نوع سند: مقاله کنفرانسی
زبان: فارسی
مشاهده: 456

فایل این مقاله در 14 صفحه با فرمت PDF قابل دریافت می باشد

استخراج به نرم افزارهای پژوهشی:

لینک ثابت به این مقاله:

شناسه ملی سند علمی:

TECHSD04_018

تاریخ نمایه سازی: 31 تیر 1398

چکیده مقاله:

وجود آسیب پذیری در یک برنامه ی وبی، میتواند دریچه ی ورود مهاجم به آن برنامه و سوء استفاده از آن آسیبپذیری باشد. از اینرو در این پایان نامه، راهکاری جهت شناسایی آسیب پذیریری برنامه های وبی ارائه شده است. اهمیت مساله، ممانعت از حمله تزریق SQL به برنامه های وبی از طریق منافذ موجود در این برنامه ها و پایگاه داده های مورد استفاده ی آنها است. در این پایان نامه سعی بر آن است که با استفاده از روش فازینگ جعبه سیاه و تولید موارد آزمون مناسب و بهینه بتوانیم آسیب پذیری برنامه های وبی را به عنوان دسته ای عظیم از انواع مختلف نرم افزار، بدون در نظر گرفتن کد منبع آن ها، و فقط با استفاده از )URLمتد (GET بدست آوریم. از اینرو مساله اصلی، ایجاد فازر تشخیص آسیب پذیری با قدرت تشخیص آسیب بالا است.در این راستا در این پایان نامه طراحی و پیاده سازی فازر با استفاده از یک فرایند دو مرحلهای میباشد؛ در مرحله ی اول با استفاده از تکنیکهای داده کاوی تکه سازی، خوشه بندی و دسته بندی، نام صفحات و پارامترهایی که بیشتر حائز اهمیت هستند از دیتاست بردار حملات استخراج میشود با اینکار دیگر نیاز به تزریق موارد آزمون به تمام پارامترهای ارسالی به یک صفحه کمتر و باعث افزایش سرعت فاز میشود. در مرحله ی دوم با توجه به نوع پایگاه داده، قانونهایی برای تولید موارد آزمون بهینه ساخته شده است که تولید تست را از حالت تصادفی خارج کرده است. میزان موفقیت روش مذکور در مرحله ی اول کار در تشخیص نقاط آسیب پذیری 79 درصد و در قسمت انجام عمل فازینگ، دقت 100 درصد تنها با بردار وردی GET ، نسبت به ابزارهای مشابه تشخیص آسیب پذیری حداقل با 11 بردار ورودی، بر روی برنامه ی وبی مرجع آسیب پذیری به دست می آید.

کلیدواژه ها:

آسیب پذیری نرم افزار ، برنامه های وبی ، تزریق SQL ، فازر.

نویسندگان

رضا خرمی

دانشگاه جامع امام حسین، تهران

مسعود باقری

دانشگاه جامع امام حسین، تهران