Імітаційна модель технології тестування безпеки на основі положень теорії масштабування
DOI:
https://doi.org/10.18372/2225-5036.24.13045Ключові слова:
тестування безпеки, масштабування, імітаційна модель, розробка програмного забезпечення, уразливості безпекиАнотація
У роботі вдосконалена імітаційна модель технологій тестування безпеки Web-додатків. В основу розробки покладено основні положення теорії масштабування імітаційних моделей в рамках алгоритмічного спрощення на основі оцінки транзитивної залежності по управлінню і даним. Відмінною особливістю розробленої імітаційної моделі є адаптація вибору вхідних операторів управління і даних до підвищення вимог оперативності розробки та реалізації моделі, виражена в реалізації процедури взаємодії з реальним браузером з використанням засобів автоматизації браузера і формуванні даних для атаки на декількох діалектах. В імітаційній моделі технології тестування вразливостей пропонується не тільки просте абстрагування від несуттєвого оператора, а і його заміна на більш ефективний, з точки зору точності кінцевих результатів перевірки, оператор. Для зниження витрат часу на імітаційне моделювання було вирішено провести масштабування шляхом заміни процедур інформаційного обміну з сервером за допомогою HTTP клієнта на процедури взаємодії з реальним браузером з використанням засобів автоматизації браузера. Крім основної мети масштабування ця заміна дозволить підвищити достовірність результату тестування атаки з ін’єкцією JavaScript коду. При цьому як засіб автоматизації браузера було вибрано бібліотеку Selenium Webdriver. Однією зі складностей тестування уразливості до SQL ін’єкцій є велика кількість діалектів SQL в залежності від використовуваної системи управління базами даних. Цей факт змушує формувати дані для атаки на декількох діалектах для максимального покриття векторів атаки. З одного боку це збільшує кількість вхідних даних імітаційної моделі, підвищує складність проекту і негативно впливає на загальні часові характеристики реалізації та проведення тестування уразливості. З іншого боку, використовуючи запропонований підхід масштабування можна істотно знизити складність проекту, не погіршуючи якісних характеристик. В основу запропонованого підходу алгоритмічного спрощення імітаційного моделювання прокладені вдосконалені процедури оцінки транзитивної залежності по управлінню і даним. Визначено допустимість і доцільність використання оцінки транзитивної залежності, що знизить обчислювальну складність реалізованих алгоритмів у порівнянні з алгоритмами оцінки прямої залежності до 1,5 раз.
Посилання
Ranganath V., Amtoft T., Banerjee A., Dwyer M., Hatcliff J. A new foundation for con-troldependence and slicing for modern program structures. Technical report 8. Santos lab. Kansas State University. 2004. Р. 428–434.
Савенков К. О. Использование зависимостей при масштабировании имитационных моделей. Методы и средства обработки информации: труды 2 Всероссийской научной конф. Москва: МГУ им. М.В. Ломоносова. Москва, 2005. С. 28-37
Семенов С.Г., Швачич Г.Г., Карпова Т.П., Волнянський В.В. Застосування багатопроцесор-них систем для удосконалення технологічних процесів. Системи обробки інформації. 2016. №3(140). С.221-226.
Коваленко А.В., Смирнов А.А., Якименко Н.Н., Доренский А.П. Проблемы анализа и оценки рисков информационной деятельности. Системи обробки інформації. 2016. № 3(140). С. 40-42.
Коваленко А., Смирнов А., Якименко Н., Доренский А.П. Метод качественного анализа рисков разработки программного обеспечения. Наука і техніка Повітряних Сил Збройних Сил України. 2016. № 2(23). С. 150-158.
Коваленко А.В. Метод управления рисками разработки программного обеспечения. Системи управління, навігації та зв’язку. 2016. №2 (38). С. 93-100.
Maven – Introduction: URL: https://mav en.apache.org/what-is-maven.html.
Maven – POM Reference: URL: https://mav en.apache.org/pom.html.
Fowler M. Inversion of Control Containers and the Dependency Injection pattern: URL: https://martinfowler.com/articles/injection.html.
Spring Framework. URL: http://proje cts.spring.io/spring-framework/.
