A MULTI OBJECTIVE APPROACH TO DETECT AND CORRECT THE SECURITY VULNERABILITIES IN WEB APPLICATIONS
No Thumbnail Available
Date
Authors
Journal Title
Journal ISSN
Volume Title
Publisher
Saudi Digital Library
Abstract
في السنوات الأخيرة، أصبحت تطبيقات الويب جزءا لا يتجزأ من حياتنا اليومية. يتم تنفيذ عدد مهول من العمليات على الانترنت يوميا بما في ذلك، التسوق عبر الانترنت، والمعاملات المالية وتبادل المعلومات والاتصالات. على غرار أنظمة الحوسبة الأخرى، تعتبر تطبيقات الإنترنت عرضة لنقاط الضعف الأمنية. بالتالي، فان نقاط الضعف التي تؤثر على النواحي الأمنية لتطبيقات الويب تتطلب أن يتم الكشف عنها وإزالتها من كودها الاساسي. حتى الآن، حدد الباحثون والممارسون في المجال الصناعي ان حقن لغة الاستعلامات المهيكلة والبرمجة عبر المواقع ومراجع الكائنات المباشرة غير المؤمنة يعتبرون من الثغرات الأمنية الرئيسية لتطبيقات الويب. الهدف الأسمى من بحثنا هذا هو الكشف عن ثغرات حقن لغة الاستعلامات المهيكلة والبرمجة عبر المواقع في مصدر التعليمات البرمجية لتطبيقات الويب عن طريق توليد سيناريوهات الهجوم. في هذا البحث، قمنا بتطوير تقنية آلية بناء على الخوارزميات الجينية لتحديد وتصحيح ثغرات حقن لغة الاستعلامات المهيكلة في تطبيقات الويب عن طريق تحديد الاستعلامات الخبيثة في شفرة المصدر. وعلاوة على ذلك، قمنا بتطوير أداة لتنفيذ وتقييم طريقتنا المتبعة. الأداة تنفذ عمليتين أساسية: أولا، التحليل الثابت الأولي للكود المعطى للتعرف على الاستفسارات الضعيفة والثاني هو توليد هجمات حقن لغة الاستعلامات المهيكلة من الخطوة الاولى باستخدام الخوارزمية الجينية. من أجل تصحيح ثغرات حقن لغة الاستعلامات المهيكلة المكتشفة، استخدمنا نهج إعادة هيكلة بسيطة. لتقييم اداتنا تجريبيا، استخدمنا العديد من المشاريع مفتوحة المصدر وكود متاح لتحديد ثغرات حقن لغة الاستعلامات المهيكلة. الاداة نجحت في الكشف وتوليد هجمات حقن لغة الاستعلامات المهيكلة للكود المعطى واعادة هيكلته لمنع الثغرات. وعلاوة على ذلك، قمنا بصياغة مشكلة كشف ثغرات البرمجة عبر المواقع كمشكلة تحسينيه وحلها باستخدام الخوارزمية الجينية. نحن جمعنا بين التحليل الثابت مع الخوارزميات الجينية لتحديد وإعداد سيناريوهات الهجوم على نقاط ضعف البرمجة عبر المواقع. الغرض من التحليل الثابت هو تحديد المنافذ الحساسة في شفرة المصدر. بعد تحديد المنافذ الحساسة، قمنا بعد ذلك بتحويل شفرة المصدر إلى شجرة التحكم في التدفق وطورنا مسارات التحكم للوصول إلى المنافذ الحساسة التي تم تحديدها. مسارات التحكم في التدفق بعد ذلك، تم اختبارها باستخدام الخوارزمية الجينية عن طريق توليد سيناريوهات هجوم البرمجة عبر المواقع مع مساعدة من قاعدة بيانات للبرمجة عبر المواقع التي تم تطويرها. وتشير النتائج التجريبية أن طريقتنا مفيدة لاختبار الاختراق الأمني.