طراحی مدل درخت حمله جعل درخواست بین سایتی برای امن سازی در فرآیند تولید برنامه وب

نویسندگان

1 دانشجوی کارشناسی ارشد، دانشگاه جامع امام حسین(ع)، تهران، ایران

2 استادیار، دانشگاه جامع امام حسین(ع)، تهران، ایران

چکیده

امن سازی بعد از تولید و غفلت طراحان و توسعه‌دهندگان به درخت حملات از مهم‌ترین چالش‌های امنیتی فرآیند تولید برنامه‌های حوزه وب است. یکی از شایع‌ترین حملات در حوزه وب، حمله جعل درخواست بین‌سایتی است که ناشی از اعتماد برنامه کاربردی به کاربر هست. در این مقاله درخت حمله جعل درخواست بین‌سایتی به عنوان راهکار امنیتی در فرآیند تولید برنامه‌های کاربردی وب بدون نیاز به تعامل با کاربر نهایی ارائه شده است. در این راستا با ادغام خصیصه‌های حاصل از مجموعه کدهای بهره‌بردار و خصیصه‌های تجربی، درخت حمله جعل درخواست بین‌سایتی استنتاج شده است. با استفاده از درخت تولیدشده، توانستیم با دقت 83%، مسیرهای مختلف مورد استفاده نفوذ گران برای انجام حملات جعل درخواست بین‌سایتی را شناسایی نماییم. امنسازی مسیرهای حمله شناسایی ‌شده در این مقاله، توسط طراحان و توسعه‌دهندگان، منجر به تولید برنامه‌های کاربردی وب با حداقل آسیب‌پذیری در مقابل حملات جعل درخواست بین‌سایتی خواهد شد.

کلیدواژه‌ها

مراجع

[1] A. PORE, “Providing Multi-Token Based Protection Against Cross Site Request Forgery Master Thesis,” the University of    Missouri-Columbia, 2012.
[2] OWASP, “OWASP Top 10 - The Ten Most Critical Web Application Security Risks,” OWASP, 2013.
[3] J. Grossman, “Whitehat Security Website,” White Hat Security, 2012.
[4] R. D. Kombade and B. Meshram, “Client Side CSRF Defensive Tool,” IJINS, vol. 1, 2012.
[5] P. D. Ryck, L. Desmet, W. Joosen, and F. Piessens, “Automatic and Precise Client-Side Protection against CSRF Attacks,” 2011.
[6] Z. Mao, N. Li, and I. Molloy, “Defeating Cross-Site  Request Forgery Attacks with Browser-Enforced       Authenticity Protection,” 2009.
[7] M. Johns and W. Justus, “RequestRodeo: Client Side Protection against Session Riding,” 2006.
[8] W. J. Philippe De Ryck, “CsFire: Transparent client-side mitigation of malicious cross-domain requests,” 2010.
[9] G. Maone, Noscript 2.0.9.9, 2011. [Online]. Available: http://noscript.net.
[10] J. Samuel, Requestpolicy 0.5.20, 2011. [Online].       Available: http://www.requestpolicy.com.
[11] J. Burns, “Cross site reference forgery: An introduction to a common web application weakness,” 2005.
[12] N. Jovanovic, E. Kirda, and C. Kruegel, “Preventing cross site request forgery attacks,” IEEE, pp. 1-10, 2006.
[13] R. Pelizzi and R. Sekar, “A Server and                     Browser-Transparent CSRF Defense for Web 2.0      Applications,” 2011.
[14] R. RAMISETTY, M. Radhesh, and P. R. Alwyn, “Preventing Image based Cross Site Request Forgery Attacks,” National Institute of Technology Karnataka, 2009.
[15] S. Son, “Prevent Cross-site Request Forgery: PCRF,” 2008.
[16] R. Pelizzi and R. Sekar, “A Server and Browser-Transparent CSRF Defense for Web 2.0 Applications,” 2011.
[17] J. H. Espedalen, “Attack Trees Describing Security in Distributed Internet-Enabled Metrology,” Thesis Master, 2007.
[18] Wikipedia. [Online]. Available: en.wikipedia.org/wiki/Exploit_(Computer_security).
[19] P. L. William, “N-grams, Lang ID, and Entropy,” 2008.
[20] [Online]. Available: www.w3schools.com.
[21] J. C. Meloni ,Sams Teach Yourself HTML, CSS and Java Script، Indianapolis: SAMS.2011.
[22] R. Quinlan, “C4.5: Programs for Machine Learning,” 1993.
[23] Habib pour and R. Safari, "Comprehensive guide to use SPSS on survey researches (quantitative analysis) (In Persian)," Motafakkeran
پدافند الکترونیکی و سایبری
دوره 3، شماره 1 - شماره پیاپی 1
542
اردیبهشت 1394
صفحه 41-52

فایل ها

سابقه مقاله

  • تاریخ دریافت: 06 آبان 1393
  • تاریخ بازنگری: 31 خرداد 1402
  • تاریخ پذیرش: 28 شهریور 1397

هم رسانی

ارجاع به این مقاله

آمار