نقد و بررسی
مقاله تجزيه و تحليل ديناميک و ايستای حروف چينی برای پاكسازی معتبر در برنامه های كاربردی وب
چکیده فارسی :
برنامه هاي كاربردي در همه جا موجود است، ماموريت انجام وظايف مهم را دارد و با داده هاي مهم كاربر سروكار دارد. متاسفانه برنامه هاي كاربردي اغلب توسط توسعه دهندگان با مهارت هاي امنيتي محدود اجرا مي گردد و در نتيجه شامل آسيب پذيري مي باشند.
اكثر اين آسيب پذيريها ريشه در عدم ارزيابي و تاييد ورودي ها دارد. يعني برنامه هاي كاربردي وب، ورودي هاي مخرب را به عنوان بخشي از عمليات حساس بدون بررسي دقيق يا بررسي مقادير ورودي قبل از استفاده شان، استفاده مي نمايند. تحقيق قبلي در مورد تجزيه و تحليل آسيب پذيري بيشتر بر شناسايي موارد، متمركز مي باشد كه در آن برنامه كاربردي وب مستقیما ورودي خارجي را در عمليات اصلي مورد استفاده قرار مي دهد. در هر صورت تحقيقات كمي براي تجزيه و تحليل صحت و درستي فرايند پاكسازي انجام گرفته است. بنابراين هر زمان كه يك برنامه كاربردي برخي امور عادي پاكسازي را براي ورودي مخرب بالقوه به كار مي برد، تحليل آسيب پذيري فرض مي نمايد كه نتيجه بي ضرر است. متاسفانه اين ممكن است موردي به عنوان خود فرايند پاكسازي نباشد كه مي تواند نادرست و يا ناقص باشد.
در اين مقاله، ما يك روش جديد را براي تجزيه و تحليل فرايند پاكسازي ارائه نموديم. بطور دقيق تر ما روشهاي تجزيه و تحليل پويا و ايستا را براي شناساندن خط مشي ها و رويه هاي پاكسازي معيوب تلفيق نموديم كه مي تواند توسط مهاجم ناديده گرفته شود. ما روشمان را در يك ابزار به نام Saner اجرا نموديم و آن را براي يك تعداد از برنامه هاي كاربردي جهان واقعي استفاده نموديم. نتايج ما نشان مي دهد كه ما قادر به شناسايي چندين آسيب پذيري جديد مي باشيم كه ريشه در روش هاي پاكسازي نادرست دارد.
چکیده انگلیسی :
0دیدگاه کاربران