تشخیص ایستای آسیب پذیری های برنامه های کاربردی وب با استفاده از تحلیل جریان داده معکوس با هدف پوشش حداکثری نقاط حساس به آسیب پذیری
Publish place: 9th Internation lIranian Security Community Conference
Publish Year: 1391
نوع سند: مقاله کنفرانسی
زبان: Persian
View: 477
This Paper With 6 Page And PDF Format Ready To Download
- Certificate
- من نویسنده این مقاله هستم
استخراج به نرم افزارهای پژوهشی:
شناسه ملی سند علمی:
ISCC09_011
تاریخ نمایه سازی: 5 آبان 1397
Abstract:
با توجه به نقش برنامه های کاربردی وب در فناوری اطلاعات و نیز تبادل اطلاعات و ارایه سرویس های تحت وب، لزوم امن بودن این دسته از برنامه ها و نیز تبادل امن اطلاعات کاملا محسوس و حایز اهمیت می باشد. از این رو سعی بر آن است تا با تشخیص آسیب پذیری های برنامه های تحت وب، مانع سوءاستفاده از این آسیب پذیری ها توسط نفوذگر شویم. شمار زیادی از روش های تشخیص آسیب پذیری با تحلیل بر روی متن برنامه و بصورت ایستا، پویا و یا ترکیبی از این دو در جهت کشف آسیب ذیری های موجود در برنامه تحت وب تلاش می کنند. در این مقاله، روشی ایستا به منظور تشخیص آسیب پذیری ها در کد متن برنامه تحت وب ارایه می شود که برای تشخیص هر چه بیشتر نقاط آسیب پذیر، از تحلیل جریان داده بصورت معکوس استفاده می کند. این نوع تحلیل را تحلیل جریان داده معکوس نام نهاده ایم و برای این منظور از گراف کنترل جریان معکوس استفاده می شود. روش ارایه شده به زبان ++C پیاده سازی شده است و ابزار حاصل را کاشف نام نهاده ایم. این ابزار بر روی چند برنامه متن باز تحت وب اجرا شده و شماری از آسیب پذیری های این برنامه ها تشخیص داده شد که تعدادی از آنها جدید بودند.
Keywords:
Authors
محمود قربان زاده
دانشکده مهندسی کامپیوتر و فناوری اطلاعات، دانشگاه صنعتی امیرکبیر، تهران
حمیدرضا شهریاری
دانشکده مهندسی کامپیوتر و فناوری اطلاعات، دانشگاه صنعتی امیرکبیر، تهران