پاسخ به:دانلود مقالات کامپیوتر
دوشنبه 28 فروردین 1391 10:47 PM
 27: طراحي و پياده سازي يك ابزار تحليل پوياي بدون مثبت كاذب براي كشف آسيب پذيري تزريق SQL!  |
| اعرابي احسان، برنجكوب مهدي، منتظري محمدعلي |
| كنفرانس بين المللي انجمن رمز ايران 1389;شهريور 1389(7) |
| کلید واژه: امنيت وب، پويش امنيتي. تزريق SQL |
|
خلاصه:
افزايش تنوع و گسترش استفاده از خدمات تحت وب، تهديدهاي مختلفي متوجه كارگزاران و كاربران آن شده است. يكي از تهديدهاي مطرح و پرمخاطره در اين زمينه، حمله تزريق SQL است. حمله تزريق SQL ميتواند منجر به افشاي اطلاعات، دور زدن مكانيزمهاي احراز اصالت، حذف يا درج اطلاعات در پايگاه داده و تغييرات در سيستم شود. بدين ترتيب توسعه گران برنامه هاي كاربردي تحت وب تمايل دارند از امنيت محصول خود در مقابل اين نوع حمله اطمينان حاصل كنند. براي اطمينان از امنيت يك برنامه كاربردي تحت وب در مقابل حمله تزريق SQL مي بايست آن را با ابزارهاي آزمون حمله تزريق SQL آزمود. در اين مقاله طراحي و پياده سازي ابزاري براي آزمون برنامه هاي كاربردي تحت وب شرح داده خواهد شد كه نه تنها قادر به انجام آزموني موثر و پوشاست، بلكه فاقد موارد مثبت كاذب در تشخيص آسيب پذيري خواهد بود. اين ابزار نيازي به تفسير يا تغيير كد منبع ندارد. همينطور در مواردي كه برنامه كاربردي پرسوجوهاي پويا توليد مي كند نيز قابل استفاده است. اين ابزار براي آزمون برنامه هاي كاربردي معتبري بكار گرفته شد و توانست چندين نقطه قابل تزريق را در آنان بيابد. |
