طراحی و پیادهسازی یک ابزار تحلیل پویای بدون مثبت کاذب برای کشف آسیبپذیری تزریقSQL

احسان اعرابی; مهدی برنجکوب; محمدعلی منتظری

طراحی و پیادهسازی یک ابزار تحلیل پویای بدون مثبت کاذب برای کشف آسیبپذیری تزریقSQL

محل انتشار: هفتمین کنفرانس انجمن رمز ایران

سال انتشار: 1389

نوع سند: مقاله کنفرانسی

زبان: فارسی

مشاهده: 1,178

فایل این مقاله در 8 صفحه با فرمت PDF قابل دریافت می باشد

دریافت فایل کامل مقاله

صدور گواهی نمایه سازی
من نویسنده این مقاله هستم

استخراج به نرم افزارهای پژوهشی:

لینک ثابت به این مقاله:

https://civilica.com/doc/106373

شناسه ملی سند علمی:

ISCC07_041

تاریخ نمایه سازی: 11 آذر 1389

چکیده مقاله:

افزایش تنوع و گسترش استفاده از خدمات تحت وب، تهدیدهای مختلفی متوجه کارگزاران و کاربران آن شده است. یکی از تهدیدهای مطرح و پرمخاطره در این زمینه، حمله تزریق SQLاست. حمله تزریقSQLمیتواند منجر به افشای اطلاعات، دور زدن مکانیزمهای احراز اصالت، حذف یا درج اطلاعات درپایگاه داده و تغییرات در سیستم شود. بدین ترتیب توسعهگران برنامههای کاربردی تحت وب تمایل دارند از امنیت محصول خود در مقابل این نوع حمله اطمینان حاصل کنند. برای اطمینان از امنیت یک برنامه کاربردی تحت وب در مقابل حمله تزریقSQLمیبایست آن را با ابزارهای آزمون حمله تزریقSQLآزمود. در این مقاله طراحی و پیادهسازی ابزاری برای آزمون برنامههای کاربردی تحت وب شرح داده خواهد شد که نه تنها قادر به انجام آزمونی موثر و پوشاست، بلکه فاقد موارد مثبت کاذب در تشخیص آسیبپذیری خواهد بود. این ابزار نیازی به تفسیر یا تغییر کد منبع ندارد. همینطور در مواردی که برنامه کاربردی پرسوجوهای پویا تولید میکند نیز قابل استفاده است. این ابزار برای آزمون برنامههای کاربردی معتبری بکار گرفته شد و توانست چندین نقطه قابل تزریق را در آنان بیابد.

کلیدواژه ها:

امنیت وب ، پویش امنیتی. تزریقSQL

نویسندگان

احسان اعرابی

مرکز تخصصی آپا دانشگاه صنعتی اصفهان

مهدی برنجکوب

عضو هیئت علمی دانشگاه صنعتی اصفهان

محمدعلی منتظری

عضو هیئت علمی دانشگاه صنعتی اصفهان

مراجع و منابع این مقاله:

لیست زیر مراجع و منابع استفاده شده در این مقاله را نمایش می دهد. این مراجع به صورت کاملا ماشینی و بر اساس هوش مصنوعی استخراج شده اند و لذا ممکن است دارای اشکالاتی باشند که به مرور زمان دقت استخراج این محتوا افزایش می یابد. مراجعی که مقالات مربوط به آنها در سیویلیکا نمایه شده و پیدا شده اند، به خود مقاله لینک شده اند :

تشخیص آسیب پذیری تزریق SQL براساس راهکاری مستقل از فناوری توسعه وب [مقاله کنفرانسی]
احسان اعرابی، « طراحی و پیاده‌سازی یک ابزار تحلیل پویای ...
- Chris Anley, " Advanced SQL Injection In SQL Server ...
- Stuart McDonald, "SQL Injection: Modes of attack, defence, and ...
- ZeQ3uL && JabAv0C, "Full MSSQL Injection PWNage", Availabe at ...
_ _ milwOrm. com/author/ 1456 , 2009 _ ...
- Jason A. Medeiros, _ Understanding mySQLUnion Piosioning", Grayscale Research, ...
- Marezzi, "SQL Injection Tutorial", Availabe at : _ _ ...
- Omni, "MySQL: Secure Web Apps - SQL Injection techniques", ...
- G. Buehrer, B. W. Weide, P. A. G. Sivilotti, ...
- Stefan Kals, Engin Kirda, Christopher Kruegel, and Nenad Jovanovic, ...
- H. Shahriar, M. Zulkernine, :MUSIC M utation-based SQL Injection ...
- MeiJunjin, An approach for SQL injection ...
vulnerability detection, Sixth International Conference _ Information Technology: New Generations, ...
- William G. J. Halfond , Alessandro Orso, ...
analysis and monitoring for Neutralizing :AMNESIA؛ه SQL-injection attacks", Year of ...
- "Acunetix, Web Security Scanner", Available at: http : //www ...
- "Wapiti, Web application vulnerability scanner / security auditor", Available ...
- E.Peterson , "Finding SQL Injection with Scrawlr", Available at: ...
http : //www _ communities _ hp. _ om/s ec ...

نمایش کامل مراجع