روشي جديد براي تشخيص ايستاي آسيب‌ پذيري‌هاي امنيتي در برنامه‌هاي كاربردي تحت وب

A new approach for static detection of security vulnerabilities in web applications

امروزه به دليل افزايش استفاده از برنامه‌هاي كاربردي تحت وب و ذخيره و تبادلاطلاعات حساس و مهم توسط اين دسته از برنامه‌ها، بررسي و رفع آسيب‌ پذيري‌هاي امنيتي آنها به جهت تامين امنيت در برابر سو استفاده نفوذگران داراي اهميت بالايي ميباشد. تحليل ايستا در بيشتر موارد به منظور تضمين امنيت و تشخيص آسيب‌پذيري‌هاي امنيتي مورد استفاده قرار مي‌گيرد؛ در حاليكه هدف اصلي تحليل پويا، تشخيص و اشكال‌زدايي خطاهاست. در اين مقاله يك روش نوين ايستا ارايه مي‌گردد كه در آن با استفاده از تحليل جريان داده احتمالي بر روي گراف احتمال آسيب‌پذيري، آسيب‌پذيري‌هاي رايج در برنامه‌هاي كاربردي تحت وب شناسايي مي‌شوند. گراف احتمال آسيبپذيري براي بررسي مسيرهايي با احتمال آسيبپذيري بيشتر و تحليل جريان داده احتمالي براي افزايش دقت تشخيص آسيبپذيري طراحي شده اند. نتايج آزمايش ها بر روي چند برنامه كاربردي تحت وب و مقايسه نتيجه روش پيشنهادي با روشهاي ديگر، نشان مي دهد الگوريتم ارايه شده در بهبود تشخيص آسيبپذيريها، عملكرد قابل قبولي دارد.