مرکز منطقه ای اطلاع رساني علوم و فناوري - ارزيابي تاب‌آوري برنامه كاربردي وب در برابر حملات منع‌خدمت سيلابي در لايه كسب و كار

شماره ركورد :

1127553

عنوان مقاله :

ارزيابي تاب‌آوري برنامه كاربردي وب در برابر حملات منع‌خدمت سيلابي در لايه كسب و كار

عنوان به زبان ديگر :

Assessing of Web Application Resiliency against Flooding DoS Attacks in the Business Layer

پديد آورندگان :

علي دوستي، ميترا دانشگاه صنعتي مالك اشتر - مجتمع فناوري اطلاعات، ارتباطات و امنيت، تهران , نوروزي، عليرضا دانشگاه صنعتي مالك اشتر - مجتمع فناوري اطلاعات، ارتباطات و امنيت، تهران , نيك آبادي، احمد دانشگاه صنعتي اميركبير - دانشكده مهندسي كامپيوتر، تهران

تعداد صفحه :

از صفحه :

1757

تا صفحه :

1767

كليدواژه :

آزمون جعبه سياه , لايه كسب و كار , فرايند كسب و كار , سناريو آزمون منع‌خدمت

چكيده فارسي :

طبق گزارش IMPERVA حملات منعقد در لايه كاربرد، حدود 60 درصد از كل حملات منع خدمت را تشكيل مي‌دهند. امروزه حملات به لايه كسب و كار منتقل شده‌اند. ابزارهاي تحليل آسيب‌پذيري قادر به شناسايي آسيب‌پذيري‌هاي لايه كسب وكار (آسيب‌پذيري‌هاي مربوط به منطق) برنامه‌كاربردي وب نيستند. در اين تحقيق راهكار جعبه سياه براي شناسايي آسيب‌پذيري لايه كسب و كار برنامه‌كاربردي وب در مقابل حملات منع‌خدمت سيلابي را با نام BLDAST پيشنهاد مي‌دهيم. هدف BLDAST ارزيابي تاب‌آوري برنامه‌كاربردي وب در برابر حملات منع‌خدمت سيلابي در لايه كسب وكار است. BLDAST ابتدا فرايندهاي كسب و كار برنامه را استخراج مي‌نمايد سپس فرايندهاي كسب و كار سنگين را انتخاب مي‌كند و در نهايت، سناريوي آزمون منع‌خدمت لايه كسب و كار را اجرا مي‌كند. آزمايش‌ها بر روي چهار برنامه‌كاربردي معروف نشان داد، BLDAST قادر است آسيب‌پذيري‌هاي لايه كسب و كار اين برنامه‌ها را شناسايي كند. علاوه بر اين نشان داديم كه مهاجم در حملات لايه كسب و كار مي‌تواند با مصرف تنها يك در صد از منابع خود در قياس با حملات لايه‌هاي ديگر، سيستم هدف را شكست دهد. بنابراين حملات لايه كسب وكار بسيار خطرناك هستند كه BLDAST قادر به شناسايي آسيب‌پذيري برنامه‌هاي‌كاربردي در برابر اين حملات است.

چكيده لاتين :

According to IMPERVA report, application layer DoS attacks have involved about 60 percent of total DoS attacks. Today, attacks have been transferred to the business layer. Web application vulnerability scanners cannot detect business logic vulnerabilities (vulnerabilities related to logic). This paper presents BLDAST, A dynamic and black-box vulnerability analysis approach that identify business logic vulnerabilities of a web application against flooding DoS attacks. BLDAST assesses web application resiliency against flooding DoS attacks in the business layer. BLDAST first extracts business logic processes of a web application. Business logic processes with high overload are selected and finally, based on selected processes, BLDAST runs business layer DoS test scenarios. The evaluation conducted on four well-known open source web applications shows that BLDAST is able to detect business logic vulnerabilities. In addition, we show that an attacker in business logic attacks can exhaust target by consuming only one percent of his resources in comparison to other layers attacks. Therefore, business logic attacks are very dangerous and BLDAST is able to identify vulnerable web applications against these attacks.

سال انتشار :

1398

عنوان نشريه :

مهندسي برق دانشگاه تبريز

فايل PDF :

7824754

لينک به اين مدرک :

https://search.ricest.ac.ir/dl/search/defaultta.aspx?DTC=8&DC=1127553