فا   |   En
ورود به سایت
مشاهده‌ مشخصات مقاله

ارائه روشی برای تشخیص جعبه سیاهِ آسیب‌پذیری ارجاع مستقیم ناامن به اشیا

نویسنده (ها)
  • وحید دولتی
  • محمدعلی هادوی
  • حسن مختاری سنگچی
مربوط به کنفرانس بیست و یکمین کنفرانس ملی سالانه انجمن کامپیوتر
چکیده اغلب ایجادکنندگان نرم‌افزارهای کاربردی تحت وب، ارجاع‌هایی به اشیای داخلی برنامه مانند فایل، فهرست، یا کلیدهای پایگاه داده بدون این‌که کنترل دسترسی یا محافظت دیگری داشته باشند، قرار می‌دهند. معمولاً به دلیل اعتبارسنجی ناکافی ورودی‌های کاربر توسط برنامه‌ها، می‌توان با تغییر شناسه‌ي شیء در یک درخواست مجاز کاربر، دسترسی مستقیم به یک شیء دلخواه را به‌دست آورد. این آسیب‌پذیری معمولاً با عنوان «ارجاع مستقیم ناامن به اشیا» شناخته می‌شود و تشخیص آن، بدون اطلاع از منطق کنترل دسترسی در نرم‌افزار – یعنی به صورت جعبه سیاه - بسیار چالش‌زا است. هدف این مقاله، کمک به تشخیص این آسیب‌پذیری به‌صورت جعبه سیاه است. بدین منظور، نخست پارامترهای تحت تأثیر این آسیب‌پذیری از روی ترافیک درخواست/پاسخ نرم‌افزار بر اساس مجموع های از قواعد شناسایی می‌شوند. سپس این پارامترها را می‌توان با مقادیری غیر از مقدار اصلی موجود در درخواست کاربر، مقداردهی و برای کارپذیر ارسال نمود. چگونگی واکنش کارپذیر به درخواست دست‌کاری شده، نشان‌دهنده‌ی امکان وجود یا عدم وجود این آسیب‌پذیری در نرم‌افزار در ارتباط با اشیای مختلف تحت حفاظت است. روش پیشنهادی، پیاده‌سازی شده و نتایج حاصل نشان دهنده‌ی مؤثر بودن آن در تشخیص این آسیب‌پذیری بدون اطلاع از منطق برنامه است.
قیمت
  • برای اعضای سایت : ۱٠٠,٠٠٠ ریال
  • برای دانشجویان عضو انجمن : ۲٠,٠٠٠ ریال
  • برای اعضای عادی انجمن : ۴٠,٠٠٠ ریال

خرید مقاله