مقاله تجزيه و تحليل ديناميک و ايستای حروف چينی برای پاكسازی معتبر در برنامه های كاربردی وبSaner: Composing Static and Dynamic Analysis to Validate Sanitization in Web Applications

در انبار موجود نمی باشد

مقاله تجزيه و تحليل ديناميک و ايستای حروف چينی برای پاكسازی معتبر در برنامه های كاربردی وبSaner: Composing Static and Dynamic Analysis to Validate Sanitization in Web Applications

20,000 تومان

ژورنال

IEEE

سال انتشار

2007

صفحات فارسی

50 تا 60

صفحات انگلیسی

10 تا 20

نقد و بررسی

مقاله تجزيه و تحليل ديناميک و ايستای حروف چينی برای پاكسازی معتبر در برنامه های كاربردی وب

چکیده فارسی :

 

برنامه هاي كاربردي در همه جا موجود است، ماموريت انجام وظايف مهم را دارد و با داده هاي مهم كاربر سروكار دارد. متاسفانه برنامه هاي كاربردي اغلب توسط توسعه دهندگان با مهارت هاي امنيتي محدود اجرا مي گردد و در نتيجه شامل آسيب پذيري مي باشند.

اكثر اين آسيب پذيريها ريشه در عدم ارزيابي و تاييد ورودي ها دارد. يعني برنامه هاي كاربردي وب، ورودي هاي مخرب را به عنوان بخشي از عمليات حساس بدون بررسي دقيق يا بررسي مقادير ورودي قبل از استفاده شان، استفاده مي نمايند. تحقيق قبلي در مورد تجزيه و تحليل آسيب پذيري بيشتر بر شناسايي موارد، متمركز مي باشد كه در آن برنامه كاربردي وب مستقیما ورودي خارجي را در عمليات اصلي مورد استفاده قرار مي دهد. در هر صورت تحقيقات كمي براي تجزيه و تحليل صحت و درستي فرايند پاكسازي انجام گرفته است. بنابراين هر زمان كه يك برنامه كاربردي برخي امور عادي پاكسازي را براي ورودي مخرب بالقوه به كار مي برد، تحليل آسيب پذيري فرض مي نمايد كه نتيجه بي ضرر است. متاسفانه اين ممكن است موردي به عنوان خود فرايند پاكسازي نباشد كه مي تواند نادرست و يا ناقص باشد.

در اين مقاله، ما يك روش جديد را براي تجزيه و تحليل فرايند پاكسازي ارائه نموديم. بطور دقيق تر ما روشهاي تجزيه و تحليل پويا و ايستا را براي شناساندن خط مشي ها و رويه هاي پاكسازي معيوب تلفيق نموديم كه مي تواند توسط مهاجم ناديده گرفته شود. ما روشمان را در يك ابزار به نام Saner اجرا نموديم و آن را براي يك تعداد از برنامه هاي كاربردي جهان واقعي استفاده نموديم. نتايج ما نشان مي دهد كه ما قادر به شناسايي چندين آسيب پذيري جديد مي باشيم كه ريشه در روش هاي پاكسازي نادرست دارد.

 

چکیده انگلیسی :

 

Web applications are ubiquitous, perform mission critical tasks, and handle sensitive user data. Unfortunately, web applications are often implemented by developers with limited security skills, and, as a result, they contain vulnerabilities. Most of these vulnerabilities stem from the lack of input validation. That is, web applications use malicious input as part of a sensitive operation, without having properly checked or sanitized the input values prior to their use.Past research on vulnerability analysis has mostly focused on identifying cases in which a web application directly uses external input in critical operations. However, little research has been performed to analyze the correctness of the sanitization process. Thus, whenever a web application applies some sanitization routine to potentially malicious input, the vulnerability analysis assumes that the result is innocuous. Unfortunately, this might not be the case, as the sanitization process itself could be incorrect or incomplete.In this paper, we present a novel approach to the analysis of the sanitization process. More precisely, we combine static and dynamic analysis techniques to identify faultym sanitization procedures that can be bypassed by an attacker. We implemented our approach in a tool, called Saner, and we applied it to a number of real-world applications. Our results demonstrate that we were able to identify several novel vulnerabilities that stem from erroneous sanitization procedures.

ژورنال

IEEE

سال انتشار

2007

صفحات فارسی

50 تا 60

صفحات انگلیسی

10 تا 20

دیدگاه خود را در باره این کالا بیان کنید افزودن دیدگاه

دیدگاهها

هیچ دیدگاهی برای این محصول نوشته نشده است.

    هیچ پرسش و پاسخی ثبت نشده است.

پرسش خود را درباره این کالا بیان کنید

ثبت پرسش
انصراف ثبت پرسش

محصولات مرتبط