ورود
مقالات فارسیISIکنفرانسهاژورنالها

بهره برداری خودکار آسیب پذیری تزریق اسکریپت با استفاده از تکامل گرامری

Publish place: Electronic and cyber defense، Vol: 9، Issue: 2
Publish Year: 1400
نوع سند: مقاله ژورنالی
زبان: Persian
View: 293

This Paper With 20 Page And PDF Format Ready To Download

  • Certificate
  • من نویسنده این مقاله هستم

استخراج به نرم افزارهای پژوهشی:

لینک ثابت به این Paper:
https://civilica.com/doc/1250141

شناسه ملی سند علمی:

JR_PADSA-9-2_009

تاریخ نمایه سازی: 12 مرداد 1400

Abstract:

فازرها می توانند از طریق تولید ورودی های آزمون و اجرای نرم افزار با این ورودی ها، آسیب پذیری ها را در نرم افزار آشکار کنند. رویکرد فازرهای مبتنی بر گرامر، جستجو در دامنه داده های قابل تولید توسط گرامر به منظور یافتن یک بردار حمله با قابلیت بهره برداری از آسیب پذیری است. چالش این فازرها، دامنه جستجوی بسیار بزرگ یا نامحدود هست و یافتن پاسخ در این دامنه یک مسئله سخت است. تکامل گرامری یکی از الگوریتم های تکاملی است که می تواند برای حل مسئله جستجو از گرامر استفاده نماید. در این تحقیق با استفاده از تکامل گرامری یک رویکرد جدید جهت تولید داده ورودی آزمون فاز به منظور بهره برداری از آسیب پذیری تزریق اسکریپت معرفی شده است. به این منظور یک روش استنتاج گرامر تزریق اسکریپت از روی بردارهای حمله ارائه شده است و یک تابع محاسبه برازندگی جهت هدایت تکامل گرامری برای جستجوی بهره برداری نیز ارائه گردیده است. این روش، بهره برداری خودکار از آسیب پذیری تزریق اسکریپت را با رویکرد جعبه سیاه محقق ساخته است. با روش این تحقیق ۱۹% بهبود در تعداد اکسپلویت های کشف شده نسبت به روش جعبه سفید ناوکس و ابزار جعبه سیاه زپ و بدون هیچ اتهام غلط، به دست آمده است.

Keywords:

آسیب پذیری , بهره برداری از آسیب پذیری , تزریق اسکریپت یا XSS , تکامل گرامری , فازر , آزمون فاز

Authors

علی مقدسی

سایبری، دانشکده جنگال، دانشگاه امام حسین(ع)، تهران

مسعود باقری

استادیار گروه کامپیوتر، دانشگاه جامع امام حسین(ع)

مراجع و منابع این Paper:

لیست زیر مراجع و منابع استفاده شده در این Paper را نمایش می دهد. این مراجع به صورت کاملا ماشینی و بر اساس هوش مصنوعی استخراج شده اند و لذا ممکن است دارای اشکالاتی باشند که به مرور زمان دقت استخراج این محتوا افزایش می یابد. مراجعی که مقالات مربوط به آنها در سیویلیکا نمایه شده و پیدا شده اند، به خود Paper لینک شده اند :
  • OWASP-۲۰۱۷-Top-۱۰, ۲۰۱۷. Available: https://www.owasp.org/images/۷/۷۲/OWASP_Top_۱۰-۲۰۱۷_(en).pdf[۲] A. Avancini and M. Ceccato, ”Comparison ...
  • X. Guo, S. Jin, and Y. Zhang, “XSS Vulnerability Detection ...
  • F. Duchene, R. Groz, S. Rawat, and J.-L. Richier, “XSS ...
  • J. Yang and Q. Tang, “RTF Editor XSS Fuzz Framework,” ...
  • J. Kronjee, A. Hommersom, and H. Vranken, “Discovering software vulnerabilities ...
  • M. E. Ruse and S. Basu, “Detecting cross-site scripting vulnerability ...
  • M. A. Ahmed and F. Ali, “Multiple-path testing for cross ...
  • A. W. Marashdih, Z. F. Zaaba, and H. K. Omer, ...
  • R. Wang, G. Xu, X. Zeng, X. Li, and Z. ...
  • S. Kals, E. Kirda, C. Kruegel, and N. Jovanovic, “Secubat: ...
  • A. Kieyzun, P. J. Guo, K. Jayaraman, and M. D. ...
  • H. Homaei and H. R. Shahriari, “Athena: A framework to ...
  • A. Alhuzali, R. Gjomemo, B. Eshete, and V. Venkatakrishnan, “NAVEX: ...
  • H.-Y. Shih, H.-L. Lu, C.-C. Yeh, H.-C. Hsiao, and S.-K. ...
  • A. Alhuzali, B. Eshete, R. Gjomemo, and V. Venkatakrishnan, “Chainsaw: ...
  • Y. Li, B. Chen, M. Chandramohan, S.-W. Lin, Y. Liu, ...
  • H. C. Huang, Z. K. Zhang, H. W. Cheng, and ...
  • M. Mohammadi, B. Chu, and H. R. Lipford, “Detecting Cross-Site ...
  • M. Mohammadi, B. Chu, H. R. Lipford, and E. Murphy-Hill, ...
  • T. Zhushou, Z. Haojin, C. Zhenfu, and Z. Shuai, “L-WMxD: ...
  • Y. H. Wang, C. H. Mao, and H. M. Lee, ...
  • V. Atlidakis, R. Geambasu, P. Godefroid, M. Polishchuk, and B. ...
  • M. Eberlein, Y. Noller, T. Vogel, and L. Grunske, “Evolutionary ...
  • M. Z. Nasrabadi and S. Parsa, “Automatic Test Data Generation ...
  • O. Caño Bellatriu, “Penetration testing automation system,” Barcelona School of ...
  • C. Ryan, M. O’Neill, and J. Collins, “Grammatical evolution: Solving ...
  • M. O'Neill and C. Ryan, “Grammatical evolution,” Trans. Evol. Comp, ...
  • C. Ryan, “Grammatical evolution tutorial,” presented at the Proceedings of ...
  • M. Fenton, J. McDermott, D. Fagan, S. Forstenlechner, E. Hemberg, ...
  • A. Sołtysik-Piorunkiewicz and M. Krysiak, “The Cyber Threats Analysis for ...
  • N. H. Nguyen, V. H. Le, V. O. Phung, and ...
  • C. Lv, L. Zhang, F. Zeng, and J. Zhang, “Adaptive ...
  • C. G. Nevill-Manning and I. H. Witten, “Identifying hierarchical structure ...
  • C. D. L. Higuera, “Grammatical Inference Learning Automata and Grammars,” ...
  • A. Avancini and M. Ceccato, “Circe: A grammar-based oracle for ...
  • J. Hunt and T. Szymanski, “A fast algorithm for computing ...
  • S. Bennetts, “Owasp zed attack proxy,” App. Sec. USA, ۲۰۱۳ ...
    • نمایش کامل مراجع