مقاله امنيت کد برنامه كاربردی وب از طريق تحليل ايستا و حفاظت در زمان اجراSecuring Web Application Code by Static Analysis and Runtime Protection

در انبار موجود نمی باشد

مقاله امنيت کد برنامه كاربردی وب از طريق تحليل ايستا و حفاظت در زمان اجراSecuring Web Application Code by Static Analysis and Runtime Protection

20,000 تومان

ژورنال

IEEE

سال انتشار

2004

صفحات فارسی

30 تا 40

صفحات انگلیسی

10 تا 20

نقد و بررسی

مقاله امنيت کد برنامه كاربردی وب از طريق تحليل ايستا و حفاظت در زمان اجرا

چکیده فارسی :

امنيت در اكثر مبادلات مورد پذيرش جهان وب قرار گرفته است بخصوص از زمانيكه آسيب پذير هاي قابل استخراج از راه دور را به باگهاي برنامه كاربردي وب نسبت مي دهد. اكثر برنامه هاي بررسي، آسيب پذيرهاي از قبل ناشناحته در برنامه هاي C به ارث رسيده را كشف مي كند، و اين اميد را افزايش مي دهند كه با برنامه هاي كاربردي وب مي توانند به موفقيت مشابهي دست يابند. در اين مقاله، ما روش كلي و بي نقصي را در جخت تضمين امنيت برنامه كاربردي توصيف مي نماييم. با ملاحظه آسيب پذيرهاي برنامه كاربردي وب به صورت مسئله جريان اطلاعاتي ايمن،‌ ما الگوريتم تحليل ايستا براساس شبكه را ايجاد نموديم كه حاصل سيستم هاي نوع و قالب بندي نوع است و نقصي آنرا بيان مي كند. در طول تحليل،‌ بخشهاي كدي كه آسيب پذير مي باشند به محافظه هاي زمان اجرا مجهز مي شوند، بنابراين در غياب دخالت كاربر از برنامه هاي كاربردي وب حفاظت مي كنند. با توجه خاص نمودن به برنامه هاي اجرا برنامه، سربار زمان اجرا به صفر كاهش مي يابد. همچنين ما ابزاري به نام Web SSARI را ايجاد نموديم تا الگوريتم را تست نماييم و از آن جهت بررسي 230 برنامه كاربردي وب اُپن سورس بر روي SourceForge.net استفاده نموديم كه جهت نمايش پژوهشهايي بامقياس، معروفيت و تكامل متفاوت انتخاب شده اند. 69 برنامه درگير آسيب پذيريهايي بودند و تنظيم كننده هاي آنها اخطار داده شد. 38 پروژه يافته هاي ما را تصديق نمودند و طرح هايشان را براي ارائه پيچ ها بيان نمودند. آمارما نشان دهنده اين مطلب است كه تحليل ايستا باعث كاهش سربار در زمان اجرا و تا 4/98% شده است.

طبقات و توصيفگران موضوع:

D.2.4 [مهندسي نرم افزار]: بررسي برنامه/نرم افزار- ثابت هاي طبقه، روشهاي رسمي D.4.6 [سيستم هاي عامل] امنيت و محافظت- كنترل جريان اطلاعات، آرگومانهاي صحت، روشهاي رسمي به K.6.5 [محاسبه ميلوكس]، امنيت و محافظت- نرم افزار هجوم كننده، دسترسي غير مجاز

كلمات كليد، امنيت برنامه كاربردي وب، امنيت در برابر آسيب پذيري ها، امنيت برنامه، بررسي، سيستم هاي نوع، جريان اطلاعات، عدم اختلال

چکیده انگلیسی‌ :

Security remains a major roadblock to universal acceptance of the Web for many kinds of transactions, especially since the recent, sharp increase in remotely exploitable vulnerabilities has been attributed to Web application bugs. Many verification tools are discovering previously unknown vulnerabilities in legacy C programs, raising hopes that the same success can be achieved with Web applications. In this paper, we describe a sound and holistic approach to ensuring Web application security. Viewing Web application vulnerabilities as a secure information flow problem, we created a lattice-based static analysis algorithm derived from type systems and typestate, and addressed its soundness. During the analysis, sections of code considered vulnerable are instrumented with runtime guards, thus securing Web applications in the absence of user intervention. With sufficient annotations, runtime overhead can be reduced to zero. We also created a tool named WebSSARI (Web application Security by Static Analysis and Runtime Inspection) to test our algorithm, and used it to verify 230 open-source Web application projects on SourceForge.net, which were selected to represent projects of different maturity, popularity, and scale. 69 contained vulnerabilities and their developers were notified. 38 projects acknowledged our findings and stated their plans to provide patches. Our statistics also show that static analysis reduced potential runtime overhead by 98.4%.

Categories and Subject Descriptors :

D.2.4 [Software Engineering]: Software / Program Verification – class invariants, formal methods; D.4.6 [Operating Systems]: Security and Protection – information flow controls, correctness proofs, formal methods; K.6.5 [Computing Milieux]: Security and Protection – invasive software, unauthorized access. General Terms Security, Verification.

Keywords :

Web application security, security vulnerabilities, program security, verification, type systems, information flow, noninterference.

ژورنال

IEEE

سال انتشار

2004

صفحات فارسی

30 تا 40

صفحات انگلیسی

10 تا 20

دیدگاه خود را در باره این کالا بیان کنید افزودن دیدگاه

دیدگاهها

هیچ دیدگاهی برای این محصول نوشته نشده است.

    هیچ پرسش و پاسخی ثبت نشده است.

پرسش خود را درباره این کالا بیان کنید

ثبت پرسش
انصراف ثبت پرسش

محصولات مرتبط