اخبار و اعلانات

 آمار

تعداد نشریات38
تعداد شماره‌ها1,252
تعداد مقالات9,075
تعداد مشاهده مقاله8,180,837
تعداد دریافت فایل اصل مقاله4,938,191
صادقی یخدانی, مائده, صرام, مهدی آقا, ادیب نیا, فضل الله. (1393). روشی جدید برای تشخیص ایستای آسیب پذیری های امنیتی در برنامه های کاربردی تحت وب. پدافند الکترونیکی و سایبری, 2(4), 65-74.
مائده صادقی یخدانی; مهدی آقا صرام; فضل الله ادیب نیا. "روشی جدید برای تشخیص ایستای آسیب پذیری های امنیتی در برنامه های کاربردی تحت وب". پدافند الکترونیکی و سایبری, 2, 4, 1393, 65-74.
صادقی یخدانی, مائده, صرام, مهدی آقا, ادیب نیا, فضل الله. (1393). 'روشی جدید برای تشخیص ایستای آسیب پذیری های امنیتی در برنامه های کاربردی تحت وب', پدافند الکترونیکی و سایبری, 2(4), pp. 65-74.
صادقی یخدانی, مائده, صرام, مهدی آقا, ادیب نیا, فضل الله. روشی جدید برای تشخیص ایستای آسیب پذیری های امنیتی در برنامه های کاربردی تحت وب. پدافند الکترونیکی و سایبری, 1393; 2(4): 65-74.

روشی جدید برای تشخیص ایستای آسیب پذیری های امنیتی در برنامه های کاربردی تحت وب

پدافند الکترونیکی و سایبری
مقاله 4، دوره 2، شماره 4، بهمن 1393، صفحه 65-74    اصل مقاله (6.02 M)
نویسندگان
مائده صادقی یخدانی* 1؛ مهدی آقا صرام2؛ فضل الله ادیب نیا2
1کارشناس ارشد مهندسی فناوری اطلاعات، دانشکده مهندسی برق و کامپیوتر، دانشگاه یزد
2استادیار، دانشکده مهندسی برق و کامپیوتر، دانشگاه یزد
تاریخ دریافت: 14 مرداد 1393،  تاریخ بازنگری: 13 تیر 1402،  تاریخ پذیرش: 28 شهریور 1397 
چکیده
چکیده
امروزه به دلیل افزایش استفاده از برنامه های کاربردی تحت وب و ذخیره و تبادل اطلاعات حساس و مهم توسط این دسته از برنامه ها، بررسی و
رفع آسیب پذیری های امنیتی آنها به جهت تامین امنیت در برابر سوء استفاده نفوذگران دارای اهمیت بالایی میباشد. تحلیل ایستا در بیشتر
موارد به منظور تضمین امنیت و تشخیص آسیب پذیری های امنیتی مورد استفاده قرار می گیرد؛ در حالی که هدف اصلی تحلیل پویا، تشخیص و
اشکال زدایی خطاهاست. در این مقاله یک روش نوین ایستا ارائه می گردد که در آن با استفاده از تحلیل جریان داده احتمالی بر روی گراف
احتمال آسیب پذیری، آسیب پذیری های رایج در برنامه های کاربردی تحت وب شناسایی می شوند. گراف احتمال آسیب پذیری برای بررسی
مسیرهایی با احتمال آسیب پذیری بیشتر و تحلیل جریان داده احتمالی برای افزایش دقت تشخیص آسیب پذیری طراحی شده اند. نتایج آزمایشها
بر روی چند برنامه کاربردی تحت وب و مقایسه نتیجه روش پیشنهادی با روش های دیگر، نشان می دهد الگوریتم ارائه شده در بهبود تشخیص
آسیب پذیریها، عملکرد قابل قبولی دارد.
کلیدواژه‌ها
تشخیص ایستای آسیب‌پذیری‌ها؛ برنامه های کاربردی تحت وب؛ گراف احتمال آسیب‌پذیری؛ تحلیل جریان داده احتمالی
عنوان مقاله [English]
A new approach for static detection of security vulnerabilities in web applications
نویسندگان [English]
Maedeh Sadeqi Yakhdani1؛ Mahdi Aqa Saram2؛ Fazlollah Adib Nia2
1Senior Expert in Information Technology Engineering, Faculty of Electrical and Computer Engineering, Yazd University
2Assistant Professor, Faculty of Electrical and Computer Engineering, Yazd University
چکیده [English]
Nowadays, due to the increased use of web-based applications and storage and exchange of sensitive
inforamtion by this category of programs, it is necessary to detect security vulnerabilities and remove them
to keep them secure against the misuse of intrusions. In most cases, the Static Analysis is especially valuable
in security assurance and detection of security vulnerabilities, while dynamic analysis goal is finding
and debugging the errors. In this paper, we present a new approach that detects common vulnerabilities in
web applications by Probable Data Flow Analysis on Vulnerability Probability Graph. VPG is designed to
consider the points with more probable to vulnerability and PDF Analysis is designed for the increase of
accuracy in vulnerability detection. The proposed approach was tested on a few web applications and the
results were compared with a few other tools that we observed improvement in performance in some cases.
کلیدواژه‌ها [English]
Vulnerabilities Static detection, Web Applications, Vulnerability Probability Graph, Probable Data Flow Analysis
مراجع

[1] L. D. P. Nico, “Authomated Security Review of
PHP Web Applications with Source Code Analysis,”
Thesis, University of Groningen, pp. 14-14,
2010.
[2] C. Korscheck, “Automatic Detection of Second-
Order Cross-Site Scripting Vulnerabilities,” Thesis,
University of Tubingen, pp. 2-4, 2010.
[3] J. Nenad, K. Christopher, and K. Engin, “Static
analysis for detecting taint-style vulnerabilities in
web applications,” Journal of Computer Security,
vol. 18, no. 5, 2010.
[4] L. Benjamin and S. L. Monica, “Finding Security
Vulnerabilities in Java Applications with Static
Analysis,” in USENIX Security Symposium, vol.
14, pp. 18-18, 2005.
[5] N. Anh, G. Salvatore, G. Doug, Sh. Jeff, and E.
David, “Authomatically hardening web applications
using precise tainting,” Security and Privacy
in the Age of Ubiquitous Computing, Springer
US, pp. 295-307, 2005.
[6] H. Vivek, Ch. Deepak, and F. Michael, “Dynamic
taint propagation for java,” in Annual Computer
Security Applications Conference, vol. 21, pp. 303
-311, 2005.
[7] K. Adam, J. G. Philip, J. Karthick, and D. E. Michael,
“Authomatic Creation of SQL Injection and
Cross-Site Scripting Attacks,” in International
Conference on Software Engineering, vol. 31, pp.
199-209, 2009.
[8] G. H. William, O. Alessandro, “AMNESIA: Analysis
and Monitoring for NEutralizing SQLInjection
Attacks,” in IEEE/ACM International
Conference on Authomated Software Engineering,
vol. 20, pp. 174-183, 2005.
[9] “RIPS-A static source code analyser for vulnerabilities
in PHP scripts,” http://ripsscanner.
sourceforge.net/ 2011.
[10] “phc – the open source PHP compiler,” [Online],
Version 3.0.1, http://www.phpcompiler.org/July
2013.
[11] “OWASP Top Ten Project,” [Online],
https://www.owasp.org/index.php/
Category:OWASP_Top_Ten_Project/June 2013.
[12] M. Ghorbanzadeh and M. R. Shahriari, “Static
detection of web applications vulnerabilities using
inverse data flow analysis for covering mejority of
sensitive points to vulnerability,” In international
ISC conferenec 9, Tehran, 1391. (In persian)

آمار
تعداد مشاهده مقاله: 408
تعداد دریافت فایل اصل مقاله: 330