ورود
مقالات فارسیISIکنفرانسهاژورنالها

ارزیابی تاب آوری برنامه کاربردی وب در برابر حملات منع خدمت سیلابی در لایه کسب و کار

محل انتشار: فصلنامه مهندسی برق دانشگاه تبریز، دوره: 49، شماره: 4
سال انتشار: 1398
نوع سند: مقاله ژورنالی
زبان: فارسی
مشاهده: 112

فایل این مقاله در 11 صفحه با فرمت PDF قابل دریافت می باشد

استخراج به نرم افزارهای پژوهشی:

لینک ثابت به این مقاله:
https://civilica.com/doc/1697215

شناسه ملی سند علمی:

JR_TJEE-49-4_028

تاریخ نمایه سازی: 27 تیر 1402

چکیده مقاله:

طبق گزارش IMPERVA حملات منعقد در لایه کاربرد، حدود ۶۰ درصد از کل حملات منع خدمت را تشکیل می دهند. امروزه حملات به لایه کسب و کار منتقل شده اند. ابزارهای تحلیل آسیب پذیری قادر به شناسایی آسیب پذیری های لایه کسب وکار (آسیب پذیری های مربوط به منطق) برنامه کاربردی وب نیستند. در این تحقیق راهکار جعبه سیاه برای شناسایی آسیب پذیری لایه کسب و کار برنامه کاربردی وب در مقابل حملات منع خدمت سیلابی را با نام BLDAST پیشنهاد می دهیم. هدف BLDAST ارزیابی تاب آوری برنامه کاربردی وب در برابر حملات منع خدمت سیلابی در لایه کسب وکار است. BLDAST ابتدا فرایندهای کسب و کار برنامه را استخراج می نماید سپس فرایندهای کسب و کار سنگین را انتخاب می کند و در نهایت، سناریوی آزمون منع خدمت لایه کسب و کار را اجرا می کند. آزمایش ها بر روی چهار برنامه کاربردی معروف نشان داد، BLDAST قادر است آسیب پذیری های لایه کسب و کار این برنامه ها را شناسایی کند. علاوه بر این نشان دادیم که مهاجم در حملات لایه کسب و کار می تواند با مصرف تنها یک در صد از منابع خود در قیاس با حملات لایه های دیگر، سیستم هدف را شکست دهد. بنابراین حملات لایه کسب وکار بسیار خطرناک هستند که BLDAST قادر به شناسایی آسیب پذیری برنامه های کاربردی در برابر این حملات است.

کلیدواژه ها:

آزمون جعبه سیاه ، لایه کسب و کار ، فرایند کسب و کار ، سناریو آزمون منع خدمت

نویسندگان

میترا علیدوستی

مجتمع فناوری اطلاعات، ارتباطات و امنیت - دانشگاه صنعتی مالک اشتر

علیرضا نوروزی

مجتمع فناوری اطلاعات، ارتباطات و امنیت - دانشگاه صنعتی مالک اشتر

اجمد نیک آبادی

دانشکده مهندسی کامپیوتر - دانشگاه صنعتی امیرکبیر

مراجع و منابع این مقاله:

لیست زیر مراجع و منابع استفاده شده در این مقاله را نمایش می دهد. این مراجع به صورت کاملا ماشینی و بر اساس هوش مصنوعی استخراج شده اند و لذا ممکن است دارای اشکالاتی باشند که به مرور زمان دقت استخراج این محتوا افزایش می یابد. مراجعی که مقالات مربوط به آنها در سیویلیکا نمایه شده و پیدا شده اند، به خود مقاله لینک شده اند :
  • میترا علیدوستی و علیرضا نوروزی، «روش آزمون امنیتی پویای لایه ...
  • G. Pellegrino and D. Balzarotti. "Toward black-box detection of logic ...
  • D. Balzarotti, M. Cova, V. V. Felmetsger and G. Vigna, ...
  • A. Doupé, B. Boe, C. Kruegel and G. Vigna, "Fear ...
  • L. Cavedon, G. Vigna, V. Felmetsger, L. Cavedon and C. ...
  • A. Wang, A. Mohaisen, W. Chang and S. Chen, "Capturing ...
  • D. Holmes, The F۵ DDoS Protection Reference, ۲۰۱۳, https://f۵.com/Portals/۱/Cache/Pdfs/۲۴۲۱/mitigating-ddos-attacks-with-f۵-technology-.pdf ...
  • E. Chai, Business Logic Attacks – Bots and BATs, ۲۰۰۹, ...
  • Web Application Security Consortium, WASC threat classification, ۲۰۱۰, http://projects.webappsec.org/w/page/۱۳۲۴۶۹۷۸/Threat Classification ...
  • X. Li and Y. Xue, "BLOCK: a black-box approach for ...
  • M. Cova, D. Balzarotti, V. Felmetsger, and G. Vigna, "Swaddler: ...
  • X. Li, W. Yan, and Y. Xue, “SENTINEL: securing database ...
  • محیا ارومیه و نگین دانش پور، «مدلی سه لایه در ...
  • سیامک عبداله زاده، محمدلی بالافر و لیلی محمدخانلی، «استفاده از ...
  • A. Doupé, L. Cavedon, C. Kruegel and G. Vigna, "Enemy ...
  • S. Ranjan, "DDoS-Resilient scheduling to counter application layer attacks under ...
  • C. Cadar, V. Ganesh, P. M. Pawlowski, D. L. Dill ...
  • R. Chang, G. Jiang, F. Ivančić, S. Sankaranarayanan, and V. ...
  • A. Gupta, T. A. Henzinger, R. Majumdar, A. Rybalchenko, and ...
  • J. Burnim, N. Jalbert, C. Stergiou, and K. Sen, "Looper: ...
  • J. Burnim, S. Juvekar, and K. Sen, "WISE: automated test ...
  • O. Olivo, I. Dillig, and C. Lin, "Detecting and exploiting ...
  • S. Son and V. Shmatikov, "SAFERPHP: finding semantic vulnerabilities in ...
  • G. Stergiopoulos, B. Tsoumas, and D. Gritzalis, "On business logic ...
  • OWASP, Business Logic Security Cheat Sheet, https://www.owasp.org/index.php/Business_Logic_Security_Cheat_Sheet ...
  • P. K. Ray, Integrated Management from E-business Perspective: Concepts, Architectures ...
  • A. Avizienis, J.-C. Laprie, B. Randell, and C. Landwehr, "Basic ...
  • William Stallings, Computer Data and Computer Communications Eighth Edition, Prentice ...
  • S. T. Zargar, J. Joshi, and D. Tipper, "A survey ...
    • نمایش کامل مراجع