روﺷﯽ ﺑﺮاي ﮐﺸﻒ ﺟﺮﯾﺎن ﻫﺎي اﻃﻼﻋﺎﺗﯽ در ﻧﺮم اﻓﺰار ﺑﻪ ﻣﻨﻈﻮر ﺗﺸﺨﯿﺺ آﺳﯿﺐ ﭘﺬﯾﺮي ﺗﺰرﯾﻖ ﻧﻮﯾﺴﻪ ذﺧﯿﺮه ﺷﺪه از ﻃﺮﯾﻖ وب ﮔﺎه

وجود جریان هاي اطلاعاتی بین كاربران سرچشمه ي برخی آسیب پذیري هاي امنیتی در نرم افزارها است. این جریان ها میتواند زمینه ي نقض خط مشی هاي كنترل دسترسی و عدم رعایت حریم خصوصی كاربران را فراهم آورد. مهمتر این كه این جریان ها عامل آسیب پذیري خطرناك و متداول تزریق نویسه ذخیره شده از ذخیره شده بسیار مشكل بوده و پویشگرهاي آسیب پذیري نیز نرخ تشخیص بسیار كمی در XSS است. كشف آسیب پذیري (Stored XSS) طریق وب گاه هنگام مواجهه با این دسته از آسیب پذیري ها دارند. هدف این مقاله ارائه روشی بصورت جعبه سیاه است كه بتواند جریان هاي اطلاعاتی میان كاربران مختلف یك XSS نرم افزار تحت وب را تشخیص داده تا به كمك آن نقاط آسیب پذیر نسبت به ذخیره شده آشكار شوند. روش پیشنهادي میان نقش هاي مختلف موجود در برنامه تفاوت قائل شده و مبتنی بر خزش كامل صفحات به منظور ایجاد گراف برنامه و جستجو در آن است. بدین منظور ابتدا تمام نقاط دریافت ورودي در صفحات مختلف برنامه پیدا شده و می بایست با داده هاي مناسب، مقدار گیرند. سپس بررسی میشود كه كدامیك از این ورودي ها به سمت كاربران دیگر جریان پیدا میكند و آیا وجود این جریان مخاطره آمیز خواهد بود یا خیر. روش پیشنهادي پیاده سازي شده و نتایج حاصل حاكی از ثمربخش بودن آن در كشف آسیب پذیري ذكر شده است.