Технологія тестування DOM XSS уразливості

Александр Владимирович Коваленко

Анотація


В роботі представлені результати дослідження та алгоритми тестування на вразливість до одних з найбільш поширених видів атак на Web-додатки - Міжсайтовий Скриптінг - XSS (Cross Site Scripting) - DOM XSS. Міжсайтовий скриптинг це помилка валідації призначених для користувача даних, яка дозволяє передати JavaScript код на виконання в браузер користувача. Атаки такого роду часто також називають HTML-ін'єкціями, адже механізм їх впровадження дуже схожий з SQL-ін'єкціями, але на відміну від останніх, впроваджуваний код виповнюється в браузері користувача. Аргументовано обраний підхід математичного моделювання на основі GERT-мереж. Проведені дослідження показали, що GERT (Graphical Evaluation and Review Technique) - є методом вивчення та аналізу стохастичних мереж, які використовуються для опису логічного взаємозв'язку між частинами проекту або етапами процесу. Головною метою GERT є оцінка логіки мережі і тривалість активності і отримання висновку про необхідність виконання деяких активностей. Розроблено технологію тестування Web-додатків і відповідний комплекс математичних моделей. В основу математичного моделювання покладено підхід GERT-мережевого синтезу. В результаті розроблено математичні моделі технології тестування DOM XSS уразливості. Математична модель технології тестування DOM XSS уразливості відрізняється від відомих, урахуванням виконання або аналізу DOM структури. Розроблену технологію можна використовувати при тестуванні на вразливість Web-додатку.


Ключові слова


тестування; DOM XSS уразливості; GERT-мережі; уразливості безпеки

Посилання


About The Open Web Application Security Project – OWASP. [Електронний ресурс]. Режим до-ступу: https://www.owasp.org/index.php/About_The _Open_Web_ Application_Security_Project.

OWASP Top 10 – 2017 RC1. [Електронний ресурс]. Режим доступу: https://github.com/OWASP /Top10/blob/master/2017/OWASP%20Top%2010%20-%202017%20RC1-English.pdf.

Positive Research 2016. [Електронний ре-сурс]. Режим доступу: https://www.ptsecurity.com /upload/ptru/analytics/Positive-Research-2016-us.pdf.

OSSTMM 3 – The Open Source Security Test-ing Methodology Manual. Contemporary Security Testing And Analysis. [Електронний ресурс]. Режим доступу: http://www.isecom.org/mirror/OSSTMM.3.pdf.

Testing for DOM-based Cross-site scripting (OTG-CLIENT-001) – OWASP. [Електронний ресурс]. Режим доступу: https://www.owasp.org/index.php/ Testing_for_DOM-based_Cross_site_scripting_(OTG-CLIENT-001).

Testing for SQL Injection (OTG-INPVAL-005) – OWASP. [Електронний ресурс]. Режим доступу: https://www.owasp.org/index.php/103.

W. Cohen, P. Ravikumar, S. Fienberg, «A Comparison of String Metrics for Matching Names and Records». [Online]. Available at: https://www.cs. cmu.edu/afs/cs/Web/People/wcohen/postscript/kdd-2003-match-ws.pdf.

K. Dreßler, Axel-Cyrille Ngonga Ngomo, «On the Efficient Execution of Bounded Jaro-Winkler Distances», Semantic Web-Interoperability, Usability, Ap-plicability an IOS Press Journal. [Online]. Available at: http://www.semantic-web-journal.net/system/files/s wj944.pdf

A.A.В Pritsker, «GERT: Graphical Evaluation and Review Technique. Part I. Fundamentals», The Jour-nal of Industrial Engineering, pp. 267-274, 1966.

A.A.В Pritsker, «Modeling and analysis us-ing Q-GERT networks», Wiley: Distributed by Halsted Press, New York, 435 p., 1979.

С.Г.Семенов, С.Ю. Гавриленко, Кассем Халіфе, «Gert-модель прогнозування параметрів функціональної безпеки технічних систем», Зб. наукових праць. Системи обробки інформації, Х, ХУПС, вип. 2(139), с. 50-52, 2016.

S. Semenov, V. Zmiyevskaya, K. Khalife, «Deve-lopment of Gert model of management system by using test cases», Journal of Qafqaz university-mathematics and computer science, Vol.(4), № 1 C. 52-59, 2016.

Г. Эдвардс, «Последняя теорема Ферма. Генетическое введение в алгебраическую теорию чисел», М., Мир, 486 с., 1980.

В.Е. Гмурман, «Теория вероятностей и математическая статистика», М.: Высшая школа, 479 с., 2003.

А.А. Смирнов, А.В. Коваленко, «Методы качественного анализа и количественной оценки рисков разработки программного обеспечения», Збірник наукових праць «Системи обробки інформації», випуск 5(142), Х, ХУПС, с. 153-157, 2016.

А.А. Смирнов, А.В. Коваленко, Н.Н. Яки-менко, А.П. Доренский , «Проблемы анализа и оценки рисков информационной деятельности», Збірник наукових праць «Системи обробки інформа-ції»., випуск 3(140), Х, ХУПС, с. 40-42, 2016.

А.А. Смирнов, А.В. Коваленко, Н.Н. Яки-менко, А.П. Доренский, «Метод качественного ана-лиза рисков разработки программного обеспече-ния», Наука і техніка Повітряних Сил Збройних Сил України, випуск 2(23), Харків, ХУПС, с. 150-158, 2016.

А.А. Смирнов, А.В. Коваленко, Н.Н. Яки-менко, А.П. Доренский, «Метод количественной оценки рисков разработки программного обеспече-ния», Збірник наукових праць Харківського університету Повітряних Сил, випуск 2 (47), Харків, ХУПС, с. 128-133, 2016.

А.В Коваленко, А.А. Смирнов, «Исполь-зование псевдобулевых методов бивалентного про-граммирования для управления рисками разработ-ки программного обеспечения», Системи управління, навігації та зв’язку, випуск 1 (37), Полтава, ПолтНТУ, с. 98-103, 2016.

А.В. Коваленко, «Метод управления рис-ками разработки программного обеспечения», Сис-теми управління, навігації та зв’язку, випуск 2 (38), Полтава, ПолтНТУ, с. 93-100, 2016.


Повний текст: PDF

Посилання

  • Поки немає зовнішніх посилань.


ISSN  2411-071X (Online), ISSN 2225-5036 (Print)

Ліцензія Creative Commons
Цей твір ліцензовано за ліцензією Creative Commons Із зазначенням авторства - Некомерційна - Без похідних творів 3.0 Неадаптована

РИНЦ SSM WorldCat BASE Національна бібліотека ім. Вернадського Науково-технічна бібліотека НАУ Ulrich's Periodicals Directory