آمار

تعداد نشریات36
تعداد شماره‌ها1,192
تعداد مقالات8,579
تعداد مشاهده مقاله6,989,625
تعداد دریافت فایل اصل مقاله4,033,152
خیری, علی, باقری, مسعود. (1394). طراحی مدل درخت حمله جعل درخواست بین سایتی برای امن سازی در فرآیند تولید برنامه وب. پدافند الکترونیکی و سایبری, 3(1), 41-52.
علی خیری; مسعود باقری. "طراحی مدل درخت حمله جعل درخواست بین سایتی برای امن سازی در فرآیند تولید برنامه وب". پدافند الکترونیکی و سایبری, 3, 1, 1394, 41-52.
خیری, علی, باقری, مسعود. (1394). 'طراحی مدل درخت حمله جعل درخواست بین سایتی برای امن سازی در فرآیند تولید برنامه وب', پدافند الکترونیکی و سایبری, 3(1), pp. 41-52.
خیری, علی, باقری, مسعود. طراحی مدل درخت حمله جعل درخواست بین سایتی برای امن سازی در فرآیند تولید برنامه وب. پدافند الکترونیکی و سایبری, 1394; 3(1): 41-52.

طراحی مدل درخت حمله جعل درخواست بین سایتی برای امن سازی در فرآیند تولید برنامه وب

پدافند الکترونیکی و سایبری
مقاله 4، دوره 3، شماره 1، اردیبهشت 1394، صفحه 41-52    اصل مقاله (751.2 K)
نویسندگان
علی خیری1؛ مسعود باقری* 2
1دانشجوی کارشناسی ارشد، دانشگاه جامع امام حسین(ع)، تهران، ایران
2استادیار، دانشگاه جامع امام حسین(ع)، تهران، ایران
تاریخ دریافت: 06 آبان 1393،  تاریخ بازنگری: 31 خرداد 1402،  تاریخ پذیرش: 28 شهریور 1397 
چکیده
امن سازی بعد از تولید و غفلت طراحان و توسعه‌دهندگان به درخت حملات از مهم‌ترین چالش‌های امنیتی فرآیند تولید برنامه‌های حوزه وب است. یکی از شایع‌ترین حملات در حوزه وب، حمله جعل درخواست بین‌سایتی است که ناشی از اعتماد برنامه کاربردی به کاربر هست. در این مقاله درخت حمله جعل درخواست بین‌سایتی به عنوان راهکار امنیتی در فرآیند تولید برنامه‌های کاربردی وب بدون نیاز به تعامل با کاربر نهایی ارائه شده است. در این راستا با ادغام خصیصه‌های حاصل از مجموعه کدهای بهره‌بردار و خصیصه‌های تجربی، درخت حمله جعل درخواست بین‌سایتی استنتاج شده است. با استفاده از درخت تولیدشده، توانستیم با دقت 83%، مسیرهای مختلف مورد استفاده نفوذ گران برای انجام حملات جعل درخواست بین‌سایتی را شناسایی نماییم. امنسازی مسیرهای حمله شناسایی ‌شده در این مقاله، توسط طراحان و توسعه‌دهندگان، منجر به تولید برنامه‌های کاربردی وب با حداقل آسیب‌پذیری در مقابل حملات جعل درخواست بین‌سایتی خواهد شد.
کلیدواژه‌ها
جعل درخواست بین‌سایتی؛ درخت حمله؛ خصیصه‌های ان-گرام؛ خصیصه‌های تجربی؛ امنسازی در فرآیند تولید
عنوان مقاله [English]
Design the Model of CSRF Attack Tree for Immunization the Web Application in Development Process
نویسندگان [English]
Ali Kheiri1؛ Masoud Bagheri2
1Master's student, Imam Hossein University, Tehran, Iran
2Assistant Professor, Imam Hossein University, Tehran, Iran
چکیده [English]
make security after production , the designer's neglect on attack tree and developer's, are of the important
challenges in web application development. One of the most common attacks on Web domain is CSRF which caused
the program to the user's trust. One of the most common attacks on Web domain is CSRF which caused from user's
trust on web application. In this paper the CSRF attack tree as a security solution in the web applications production
process without the need to interact with the end user is provided. In this context, with integration the derived
attributes from exploit_codes and experimental attributes , the CSRF attack tree is derived. With use the produced
tree , with 83% accuracy, we were able to identify the different routes that hackers use on CSRF attacks. Immunization
the detected attack vectors in this article, by designers and developers, will be resulted to produce secure web
applications against CSRF attacks.
کلیدواژه‌ها [English]
CSRF, Attack Tree, N-gram properties, Practical properties, security in develop lifiecycle
مراجع

[1] A. PORE, “Providing Multi-Token Based Protection Against Cross Site Request Forgery Master Thesis,” the University of    Missouri-Columbia, 2012.

[2] OWASP, “OWASP Top 10 - The Ten Most Critical Web Application Security Risks,” OWASP, 2013.

[3] J. Grossman, “Whitehat Security Website,” White Hat Security, 2012.

[4] R. D. Kombade and B. Meshram, “Client Side CSRF Defensive Tool,” IJINS, vol. 1, 2012.

[5] P. D. Ryck, L. Desmet, W. Joosen, and F. Piessens, “Automatic and Precise Client-Side Protection against CSRF Attacks,” 2011.

[6] Z. Mao, N. Li, and I. Molloy, “Defeating Cross-Site  Request Forgery Attacks with Browser-Enforced       Authenticity Protection,” 2009.

[7] M. Johns and W. Justus, “RequestRodeo: Client Side Protection against Session Riding,” 2006.

[8] W. J. Philippe De Ryck, “CsFire: Transparent client-side mitigation of malicious cross-domain requests,” 2010.

[9] G. Maone, Noscript 2.0.9.9, 2011. [Online]. Available: http://noscript.net.

[10] J. Samuel, Requestpolicy 0.5.20, 2011. [Online].       Available: http://www.requestpolicy.com.

[11] J. Burns, “Cross site reference forgery: An introduction to a common web application weakness,” 2005.

[12] N. Jovanovic, E. Kirda, and C. Kruegel, “Preventing cross site request forgery attacks,” IEEE, pp. 1-10, 2006.

[13] R. Pelizzi and R. Sekar, “A Server and                     Browser-Transparent CSRF Defense for Web 2.0      Applications,” 2011.

[14] R. RAMISETTY, M. Radhesh, and P. R. Alwyn, “Preventing Image based Cross Site Request Forgery Attacks,” National Institute of Technology Karnataka, 2009.

[15] S. Son, “Prevent Cross-site Request Forgery: PCRF,” 2008.

[16] R. Pelizzi and R. Sekar, “A Server and Browser-Transparent CSRF Defense for Web 2.0 Applications,” 2011.

[17] J. H. Espedalen, “Attack Trees Describing Security in Distributed Internet-Enabled Metrology,” Thesis Master, 2007.

[18] Wikipedia. [Online]. Available: en.wikipedia.org/wiki/Exploit_(Computer_security).

[19] P. L. William, “N-grams, Lang ID, and Entropy,” 2008.

[20] [Online]. Available: www.w3schools.com.

[21] J. C. Meloni ,Sams Teach Yourself HTML, CSS and Java Script، Indianapolis: SAMS.2011.

[22] R. Quinlan, “C4.5: Programs for Machine Learning,” 1993.

[23] Habib pour and R. Safari, "Comprehensive guide to use SPSS on survey researches (quantitative analysis) (In Persian)," Motafakkeran

آمار
تعداد مشاهده مقاله: 627
تعداد دریافت فایل اصل مقاله: 173