تعداد نشریات | 36 |
تعداد شمارهها | 1,175 |
تعداد مقالات | 8,463 |
تعداد مشاهده مقاله | 6,421,385 |
تعداد دریافت فایل اصل مقاله | 3,654,242 |
طراحی مدل درخت حمله جعل درخواست بین سایتی برای امن سازی در فرآیند تولید برنامه وب | ||
پدافند الکترونیکی و سایبری | ||
مقاله 4، دوره 3، شماره 1، اردیبهشت 1394، صفحه 41-52 اصل مقاله (751.2 K) | ||
نویسندگان | ||
علی خیری1؛ مسعود باقری* 2 | ||
1دانشجوی کارشناسی ارشد، دانشگاه جامع امام حسین(ع)، تهران، ایران | ||
2استادیار، دانشگاه جامع امام حسین(ع)، تهران، ایران | ||
تاریخ دریافت: 06 آبان 1393، تاریخ بازنگری: 31 خرداد 1402، تاریخ پذیرش: 28 شهریور 1397 | ||
چکیده | ||
امن سازی بعد از تولید و غفلت طراحان و توسعهدهندگان به درخت حملات از مهمترین چالشهای امنیتی فرآیند تولید برنامههای حوزه وب است. یکی از شایعترین حملات در حوزه وب، حمله جعل درخواست بینسایتی است که ناشی از اعتماد برنامه کاربردی به کاربر هست. در این مقاله درخت حمله جعل درخواست بینسایتی به عنوان راهکار امنیتی در فرآیند تولید برنامههای کاربردی وب بدون نیاز به تعامل با کاربر نهایی ارائه شده است. در این راستا با ادغام خصیصههای حاصل از مجموعه کدهای بهرهبردار و خصیصههای تجربی، درخت حمله جعل درخواست بینسایتی استنتاج شده است. با استفاده از درخت تولیدشده، توانستیم با دقت 83%، مسیرهای مختلف مورد استفاده نفوذ گران برای انجام حملات جعل درخواست بینسایتی را شناسایی نماییم. امنسازی مسیرهای حمله شناسایی شده در این مقاله، توسط طراحان و توسعهدهندگان، منجر به تولید برنامههای کاربردی وب با حداقل آسیبپذیری در مقابل حملات جعل درخواست بینسایتی خواهد شد. | ||
کلیدواژهها | ||
جعل درخواست بینسایتی؛ درخت حمله؛ خصیصههای ان-گرام؛ خصیصههای تجربی؛ امنسازی در فرآیند تولید | ||
مراجع | ||
[1] A. PORE, “Providing Multi-Token Based Protection Against Cross Site Request Forgery Master Thesis,” the University of Missouri-Columbia, 2012. [2] OWASP, “OWASP Top 10 - The Ten Most Critical Web Application Security Risks,” OWASP, 2013. [3] J. Grossman, “Whitehat Security Website,” White Hat Security, 2012. [4] R. D. Kombade and B. Meshram, “Client Side CSRF Defensive Tool,” IJINS, vol. 1, 2012. [5] P. D. Ryck, L. Desmet, W. Joosen, and F. Piessens, “Automatic and Precise Client-Side Protection against CSRF Attacks,” 2011. [6] Z. Mao, N. Li, and I. Molloy, “Defeating Cross-Site Request Forgery Attacks with Browser-Enforced Authenticity Protection,” 2009. [7] M. Johns and W. Justus, “RequestRodeo: Client Side Protection against Session Riding,” 2006. [8] W. J. Philippe De Ryck, “CsFire: Transparent client-side mitigation of malicious cross-domain requests,” 2010. [9] G. Maone, Noscript 2.0.9.9, 2011. [Online]. Available: http://noscript.net. [10] J. Samuel, Requestpolicy 0.5.20, 2011. [Online]. Available: http://www.requestpolicy.com. [11] J. Burns, “Cross site reference forgery: An introduction to a common web application weakness,” 2005. [12] N. Jovanovic, E. Kirda, and C. Kruegel, “Preventing cross site request forgery attacks,” IEEE, pp. 1-10, 2006. [13] R. Pelizzi and R. Sekar, “A Server and Browser-Transparent CSRF Defense for Web 2.0 Applications,” 2011. [14] R. RAMISETTY, M. Radhesh, and P. R. Alwyn, “Preventing Image based Cross Site Request Forgery Attacks,” National Institute of Technology Karnataka, 2009. [15] S. Son, “Prevent Cross-site Request Forgery: PCRF,” 2008. [16] R. Pelizzi and R. Sekar, “A Server and Browser-Transparent CSRF Defense for Web 2.0 Applications,” 2011. [17] J. H. Espedalen, “Attack Trees Describing Security in Distributed Internet-Enabled Metrology,” Thesis Master, 2007. [18] Wikipedia. [Online]. Available: en.wikipedia.org/wiki/Exploit_(Computer_security). [19] P. L. William, “N-grams, Lang ID, and Entropy,” 2008. [20] [Online]. Available: www.w3schools.com. [21] J. C. Meloni ,Sams Teach Yourself HTML, CSS and Java Script، Indianapolis: SAMS.2011. [22] R. Quinlan, “C4.5: Programs for Machine Learning,” 1993. [23] Habib pour and R. Safari, "Comprehensive guide to use SPSS on survey researches (quantitative analysis) (In Persian)," Motafakkeran | ||
آمار تعداد مشاهده مقاله: 602 تعداد دریافت فایل اصل مقاله: 151 |