شماره ركورد كنفرانس :
4058
عنوان مقاله :
روش آزمون امنيتي پوياي لايه كسب و كار برنامه كاربردي وب براي شناسايي آسيب پذيري برنامه كاربردي وب در برابر حملات منع خدمت سيلابي
پديدآورندگان :
علي دوستي ميترا Alidoosti@mut.ac.ir دانشجو دكترا، دانشگاه صنعتي مالك اشتر، تهران , نوروزي عليرضا nowroozi@ce.sharif.ir دانشكده مهندسي كامپيوتر، دانشگاه صنعتي شريف، تهران
كليدواژه :
آزمون جعبه سياه , لايه كسب و كار , سناريو آزمون منع خدمت , فرايند كسب و كار
عنوان كنفرانس :
چهاردهمين كنفرانس بين المللي انجمن رمز ايران
چكيده فارسي :
حملات منع خدمت تهديد جدي براي امنيت برنامه هاي كاربردي وب محسوب مي شوند. امروزه حملات به لايه كسب و كار منتقل شده اند. ابزارهاي تحليل آسيب پذيري قادر نيستند آسيب پذيري هاي لايه كسب و كار (آسيب پذيري هاي مربوط به منطق) برنامه كاربردي را كشف كنند. در اين تحقيق راهكار جعبه سياه براي آزمون امنيتي پويا به منظور شناسايي آسيب پذيري لايه كسب و كار برنامه كاربردي در مقابل حملات منع خدمت سيلابي را با نام BLDAST پيشنهاد مي دهيم. BLDAST در سه مرحله به شناسايي آسيب پذيري مي پردازد: ابتدا فرايندهاي كسب و كاري برنامه را استخراج مي نمايد سپس بر اساس معيارهاي ارائه شده سربار فرايندهاي كسب و كار اندازه گيري مي شود و رايندهاي كسب و كار سنگين را انتخاب مي كند و در نهايت سناريو آزمون منع خدمت لايه كسب و كار را اجرا مي كند. آزمايش ها بر روي چهار برنامه كاربردي پركاربرد نشان داد، BLDAST قادر است آسيب پذيري هاي لايه كسب و كار اين برنامه ها را شناسايي كند. علاوه بر اين نشان داديم كه حملات لايه كسب و كار مي توانند با تنها مصرف يك درصد منابع در قياس با حملات لايه هاي ديگر موفق به شكست سيستم هدف شوند و از اين رو بسيار خطرناك هستند كه BLDAST قادر به شناسايي آسيب-پذيري برنامه هاي كاربردي در برابر اين حملات است.
