مشاهده مشخصات مقاله
ارائه روشی برای تشخیص جعبه سیاهِ آسیبپذیری ارجاع مستقیم ناامن به اشیا
|
Authors |
-
وحید دولتی
-
محمدعلی هادوی
-
حسن مختاری سنگچی
|
|
Conference |
بیست و یکمین کنفرانس ملی سالانه انجمن کامپیوتر |
|
Abstract |
اغلب ایجادکنندگان نرمافزارهای کاربردی تحت وب، ارجاعهایی به اشیای داخلی برنامه مانند فایل، فهرست، یا کلیدهای پایگاه داده بدون اینکه کنترل دسترسی یا محافظت دیگری داشته باشند، قرار میدهند. معمولاً به دلیل اعتبارسنجی ناکافی ورودیهای کاربر توسط برنامهها، میتوان با تغییر شناسهي شیء در یک درخواست مجاز کاربر، دسترسی مستقیم به یک شیء دلخواه را بهدست آورد. این آسیبپذیری معمولاً با عنوان «ارجاع مستقیم ناامن به اشیا» شناخته میشود و تشخیص آن، بدون اطلاع از منطق کنترل دسترسی در نرمافزار – یعنی به صورت جعبه سیاه - بسیار چالشزا است. هدف این مقاله، کمک به تشخیص این آسیبپذیری بهصورت جعبه سیاه است. بدین منظور، نخست پارامترهای تحت تأثیر این آسیبپذیری از روی ترافیک درخواست/پاسخ نرمافزار بر اساس مجموع های از قواعد شناسایی میشوند. سپس این پارامترها را میتوان با مقادیری غیر از مقدار اصلی موجود در درخواست کاربر، مقداردهی و برای کارپذیر ارسال نمود. چگونگی واکنش کارپذیر به درخواست دستکاری شده، نشاندهندهی امکان وجود یا عدم وجود این آسیبپذیری در نرمافزار در ارتباط با اشیای مختلف تحت حفاظت است. روش پیشنهادی، پیادهسازی شده و نتایج حاصل نشان دهندهی مؤثر بودن آن در تشخیص این آسیبپذیری بدون اطلاع از منطق برنامه است. |
|
قیمت |
-
برای اعضای سایت : 100,000 Rial
-
برای دانشجویان عضو انجمن : 20,000 Rial
-
برای اعضای عادی انجمن : 40,000 Rial
|
خرید مقاله
|
|
.gif){kind=icon}