شناخت رخداد آسیب پذیری ها و رخنه های نرم افزاری مبتنی بر ماهیت و عملکرد نرمافزارهای تحت وب

در حالی که آسیب پذیری نرم افزاری یکی از مشکلات مهم امنیتی در سازمانها به شمار می رود خودکارسازی مدیریتآسیب پذیری های نرم افزاری و به تبع آن استفاده از استانداردهای توصیف آسیب پذیری های نرم افزاری مورد توجه پژوهشهای اخیر می باشد. اگرچه در پروژه های نرم افزاری، روشهای بسیاری برای ضمانت کیفیت سیستم های نرم افزاری انجاممی گیرد اما هنوز برخی آسیب ها در سیستم های نرم افزاری، به دلیل پیچیدگی طراحی، توسعه و محیط برنامه کاربردیوجود دارند. در یک نگاه کلی تر در سال های 2004، 2007 و 2008 محققان در مقاله های خود به اهمیت استانداردهایمرتبط با آسیب پذیری های نرم افزاری نظیر استانداردهای OVAL, XCCDF, CVSS, AVDL, CVE و ... پرداخته و روشبکارگیری آنها را در مدیریت آسیب پذیری های نرم افزاری توضیح داده اند. همچنین یک مدل دادهای یکپارچه برای تحلیلآسیب پذیری مستقل از تکنولوژی برنامه های تحت وب را تحقق بخشیدند و میزان استفاده از مدل دادهای را به عنوان بخشیاز یک چهارچوب جدید برای تحلیل آسیب پذیری برنامه تحت وب ارزیابی کردند که چهارچوبی قابل توسعه و مبتنی براسکنرهای برنامه تحت وب و استانداردهای امنیت نرم افزار به عنوان یک فرمت توصیف آسیب پذیری یکنواخت بود. اماهمچنان پژوهشی که بتواند بر اساس ماهیت و عملکرد برنامه های کاربردی تحت وب به تخمین وجود آسیب پذیری ها ورخنه های نرم افزاری مرتبط با حوزه ی کاری نرم افزار بپردازد در ادبیات تحقیق خالی بوده است. در مدل پیشنهادی درپژوهش حاضر، به منظور دسته بندی آسیب پذیری های نرم افزاری بر اساس نوع برنامه های تحت وب به انتخاب برنامه هایتحت وب متن باز با عملکرد های گوناگون پرداخته شد. سپس، دسته بندی و استخراج المان هایی که منجر به رخدادآسیب پذیری می شوند صورت گرفته و در ادامه، آسیب پذیری های مرتبط با المان های مورد بررسی تحلیل شد سپس برایهریک از برنامه های تحت وب، شدت آسیب پذیری های نرم افزاری بدست آمده با استفاده از ابزار Acunetix بدستآمده و آسیب پذیری ها با درنظر گرفتن فاکتور شدت بر اساس نوع برنامه کاربردی دسته بندی شد.