مشاهده مشخصات مقاله
ارائه روشی برای تشخیص جعبه سیاهِ آسیبپذیری ارجاع مستقیم ناامن به اشیا
نویسنده (ها) |
-
وحید دولتی
-
محمدعلی هادوی
-
حسن مختاری سنگچی
|
مربوط به کنفرانس |
بیست و یکمین کنفرانس ملی سالانه انجمن کامپیوتر |
چکیده |
اغلب ایجادکنندگان نرمافزارهای کاربردی تحت وب، ارجاعهایی به اشیای داخلی برنامه مانند فایل، فهرست، یا کلیدهای پایگاه داده بدون اینکه کنترل دسترسی یا محافظت دیگری داشته باشند، قرار میدهند. معمولاً به دلیل اعتبارسنجی ناکافی ورودیهای کاربر توسط برنامهها، میتوان با تغییر شناسهي شیء در یک درخواست مجاز کاربر، دسترسی مستقیم به یک شیء دلخواه را بهدست آورد. این آسیبپذیری معمولاً با عنوان «ارجاع مستقیم ناامن به اشیا» شناخته میشود و تشخیص آن، بدون اطلاع از منطق کنترل دسترسی در نرمافزار – یعنی به صورت جعبه سیاه - بسیار چالشزا است. هدف این مقاله، کمک به تشخیص این آسیبپذیری بهصورت جعبه سیاه است. بدین منظور، نخست پارامترهای تحت تأثیر این آسیبپذیری از روی ترافیک درخواست/پاسخ نرمافزار بر اساس مجموع های از قواعد شناسایی میشوند. سپس این پارامترها را میتوان با مقادیری غیر از مقدار اصلی موجود در درخواست کاربر، مقداردهی و برای کارپذیر ارسال نمود. چگونگی واکنش کارپذیر به درخواست دستکاری شده، نشاندهندهی امکان وجود یا عدم وجود این آسیبپذیری در نرمافزار در ارتباط با اشیای مختلف تحت حفاظت است. روش پیشنهادی، پیادهسازی شده و نتایج حاصل نشان دهندهی مؤثر بودن آن در تشخیص این آسیبپذیری بدون اطلاع از منطق برنامه است. |
قیمت |
-
برای اعضای سایت : ۱٠٠,٠٠٠ ریال
-
برای دانشجویان عضو انجمن : ۲٠,٠٠٠ ریال
-
برای اعضای عادی انجمن : ۴٠,٠٠٠ ریال
|
خرید مقاله
|
|