طراحی و پیادهسازی یک ابزار تحلیل پویای بدون مثبت کاذب برای کشف آسیبپذیری تزریقSQL
عنوان مقاله: طراحی و پیادهسازی یک ابزار تحلیل پویای بدون مثبت کاذب برای کشف آسیبپذیری تزریقSQL
شناسه ملی مقاله: ISCC07_041
منتشر شده در هفتمین کنفرانس انجمن رمز ایران در سال 1389
شناسه ملی مقاله: ISCC07_041
منتشر شده در هفتمین کنفرانس انجمن رمز ایران در سال 1389
مشخصات نویسندگان مقاله:
احسان اعرابی - مرکز تخصصی آپا دانشگاه صنعتی اصفهان
مهدی برنجکوب - عضو هیئت علمی دانشگاه صنعتی اصفهان
محمدعلی منتظری - عضو هیئت علمی دانشگاه صنعتی اصفهان
خلاصه مقاله:
احسان اعرابی - مرکز تخصصی آپا دانشگاه صنعتی اصفهان
مهدی برنجکوب - عضو هیئت علمی دانشگاه صنعتی اصفهان
محمدعلی منتظری - عضو هیئت علمی دانشگاه صنعتی اصفهان
افزایش تنوع و گسترش استفاده از خدمات تحت وب، تهدیدهای مختلفی متوجه کارگزاران و کاربران آن شده است. یکی از تهدیدهای مطرح و پرمخاطره در این زمینه، حمله تزریق SQLاست. حمله تزریقSQLمیتواند منجر به افشای اطلاعات، دور زدن مکانیزمهای احراز اصالت، حذف یا درج اطلاعات درپایگاه داده و تغییرات در سیستم شود. بدین ترتیب توسعهگران برنامههای کاربردی تحت وب تمایل دارند از امنیت محصول خود در مقابل این نوع حمله اطمینان حاصل کنند. برای اطمینان از امنیت یک برنامه کاربردی تحت وب در مقابل حمله تزریقSQLمیبایست آن را با ابزارهای آزمون حمله تزریقSQLآزمود. در این مقاله طراحی و پیادهسازی ابزاری برای آزمون برنامههای کاربردی تحت وب شرح داده خواهد شد که نه تنها قادر به انجام آزمونی موثر و پوشاست، بلکه فاقد موارد مثبت کاذب در تشخیص آسیبپذیری خواهد بود. این ابزار نیازی به تفسیر یا تغییر کد منبع ندارد. همینطور در مواردی که برنامه کاربردی پرسوجوهای پویا تولید میکند نیز قابل استفاده است. این ابزار برای آزمون برنامههای کاربردی معتبری بکار گرفته شد و توانست چندین نقطه قابل تزریق را در آنان بیابد.
کلمات کلیدی: امنیت وب، پویش امنیتی. تزریقSQL
صفحه اختصاصی مقاله و دریافت فایل کامل: https://civilica.com/doc/106373/