Web Applications Security Testing: Genetic Algorithms Based Test Data Generator

FAKHRELDIN ELKHIDIR ALI2022-05-182022-05-183785https://drepo.sdl.edu.sa/handle/20.500.14154/633تعاني تطبيقات الإنترنت من العديد من المهددات المتعلقة بالسرية, وخطورة هذه المهددات انه يمكن استخدامها للإضرار بتلك الأنظمة بطرق عديدة. توجد حاليا عدد من البحوث المطروحة والتي تقدم طرق وآليات مختلفة من اجل اختبار سرية تطبيقات الإنترنت والتأكد من خلوها من المهددات الأمنية, في هذا البحث قمنا بتقديم إطار لتصنيف ومقارنه الطرق الموجودة والمستخدمة في اختبارات السرية بالنسبة لتطبيقات الإنترنت. تم في هذا البحث تقديم طريقة جديده لاختبار تطبيقات الإنترنت والتأكد من خلوها من المهددات الأمنية, تحديدا مهددات ال Cross Site Scripting (XSS) وذلك عبر اختبار المسارات المهددة في التطبيق موضوع الاختبار, الطريقة المقدمة في هذا البحث تعمد علي تحويل مشكلة اختبار البرمجيات من حيث السرية الي مشكلة بحث عن افضل بيانات الاختبار الممكنة, سواء كانت رقمية أو حرفية. الحل المقدم في هذا البحث يعتمد علي الخوارزمية الجينية معتمدا علي مبدأ البحث عن افضل بيانات الاختبار التي تودي اذا ما تم استخدامها إلى كشف ماذا كان التطبيق موضوع الاختبار يحتوي علي ثغرات تسمح بحدوث المهدد المذكور. تم استخدام الخوارزمية الجينية مع قاعدة بيانات تحتوي علي عدد من أنماط ال XSS الحقيقية وقد تم تجميع هذه الأنماط من مصادر مختلفة, حيث تقوم الخوارزمية بالاستعانة بقاعدة البيانات المذكورة من اجل توليد مدخلات للتطبيق موضوع الاختبار هي عباره عن أنماط XSS حقيقيه كبيانات اختبار من اجل تغطية المسارات المعرضة لهذه المهددات في التطبيق. يقوم الحل المقدم باختبار تطبيقات إنترنت بنيت باستخدام لغة ال PHP وقواعد بيانات ال MYSQL حيث يتم اختبارها للتأكد من خلوها من مهددات ال XSS بأنواعها المختلفة :Stored, Reflected and DOM based والتي قد تؤدي للعديد من المشاكل المتعلقة بالسرية. تم عمل العديد من التجارب علي تطبيقات مختلفة من أجل التأكد من مدي كفاءه الحل المقترح وجودته, وقد صنفت التجارب إلى قسمين رئيسين الأول منهما يعني باختبار المسارات المهددة في التطبيق موضوع الاختبار كل مسار علي حدة, القسم الثاني من التجارب يعني يأخذ في الاعتبار كل المسارات المهددة دفعة واحده, بالنظر إلى النتائج التي تم الحصول عليها في كل من قسمي التجارب يتبين مدي كفاءه الطريقة المقترحة وجودتها. نسبة لعدم توفر عمل بحثي يتبع نفس الطريقة المقترحة, تمت مقارنة نتائج التجارب مع الآلية العشوائية في اختيار أنماط عشوائيا من قاعدة بيانات ال XSSواستخدامها كمدخلات للتطبيق تحت الاختبار فكانت طريقتنا المقترحة افضل بكثير جدا ومرضية إلى حد بعيد.enWeb Applications Security Testing: Genetic Algorithms Based Test Data GeneratorThesis