ارسل ملاحظاتك

ارسل ملاحظاتك لنا







بناء أداة للكشف والحماية من ثغرتي حقن لغة الاستعلام البنائية والبرمجة عبر المواقع

العنوان بلغة أخرى: Build A Tool for Detecting and Protection Against Sql Injection and Cross Site Scripting Vulnerabilities
المصدر: مجلة الدراسات العليا
الناشر: جامعة النيلين - كلية الدراسات العليا
المؤلف الرئيسي: فضل الله، عثمان النور سليمان (مؤلف)
مؤلفين آخرين: يوسف، عوض الكريم محمد (م. مشارك) , عبدالله، محمد حسن أحمد (م. مشارك) , أحمد، السماني عبدالمطلب (م. مشارك)
المجلد/العدد: مج5, ع20
محكمة: نعم
الدولة: السودان
التاريخ الميلادي: 2016
الشهر: يوليو
الصفحات: 47 - 66
ISSN: 1858-6228
رقم MD: 791016
نوع المحتوى: بحوث ومقالات
اللغة: العربية
قواعد المعلومات: EduSearch, HumanIndex, EcoLink, IslamicInfo
مواضيع:
كلمات المؤلف المفتاحية:
حقن لغة الاستعلام البنائية | البرمجة عبر المواقع | رسائل الخطأ | التحليل الاستاتيكي | مدخلات المستخدم | تصميم المترجمات | التعابير القياسية | فحص الشيفرة البرمجية | إطارات العمل
رابط المحتوى:
صورة الغلاف QR قانون

عدد مرات التحميل

72

حفظ في:
المستخلص: تتعرض الكثير من مواقع الويب السودانية لكثير من الهجمات التي تعتمد بشكل أساسي على ثغرات وأخطاء برمجية يرتكبها مطوري هذه المواقع والتطبيقات. ولعل من أشهر هذه الثغرات وأكثرها خطورة، ثغرتي حقن لغة الاستعلام البنائية SQL Injection والبرمجة عبر المواقع Cross Site scripting بحسب آخر قائمة أصدرها مشروع أواسب OWASP الأمني في العام 2013 م. ومن أكثر الأشياء التي يستغلها المخترقين لتنفيذ هجماتهم، رسائل الخطأ التي يظُهرها تطبيق الويب للمستخدم عند وجود مشكلة بالاستعلامات التي تقوم بتنفيذها قواعد البيانات به. كما أن مدخلات المستخدم غير المعقمة تعتبر هي البوابة التي يستغلها الكثير من المخترقين لحقن شيفرات برمجية خبيثة تؤدي إلى منحهم كافة الصلاحيات على تطبيقات وخدمات الويب. وعلى الرغم من خطورة ما ذكر، إلا أنه لا توجد خطوات بحجم المشكلة لتطوير أدوات تقوم بمحاولة اكتشاف ومنع هذه الثغرات الخطيرة. في هذه الورقة تم بناء أداة برمجية مؤتمتة لحل مشكلة ثغرتي حقن لغة الاستعلام البنائية والبرمجة عبر المواقع المنتشرتان بالشيفرات البرمجية لتطبيقات الويب السودانية. وقد تم بناء هذه الأداة اعتماداً على المزايا التي تقدمها كل من مفاهيم تصميم المترجمات وتقنيات التعابير القياسية Regular Expression. وتتكون هذه الأداة من ثلاث أدوات فرعية كل منها يمكن أن يعمل بمفرده. وعند التعامل معهم كوحدة واحدة نجد أنهم مترابطين منطقيا. حيث نجد أن الأداة الأولى تقوم بمنع تطبيقات الويب من إرسال رسائل خطأ يمكن الاستفادة منها في تنفيذ أي هجوم عن طريق ثغرة SQL Injection. أما الأداة الثانية فتقوم بالاستفادة من مزايا التحميل الاستاتيكي لتحليل أي تطبيق ويب تمت كتابة شيفرته البرمجية عن طريق لغة PHP مع نظام إدارة قواعد البيانات MySQL واكتشاف ثغرتي SQL Injection وXSS به مع تحديد موضع الثغرة بكل دقة. أما الأداة الثالثة فتم بناؤها عمى أساس أن معظم أدوات التحليل المعروفة الأخرى تقوم باكتشاف الثغرات فقط دون تقديم حلول واضحة لها، أما هذه الأداة فتستهدف تعقيم جميع مستقبلات مدخلات المستخدم قبل التعامل معيا لتنفيذ أي استعلام على قاعدة البيانات. وقد أظهرت الأداة فعالية كبيرة عند تجربتها على أرض الواقع، حيث وصلت نسبة نجاح الأداة الثانية .87.95 إلا أن الأداة أظهرت بعض الضعف في التطبيقات التي تمت برمجتها عن طريق البرمجة الكائنية التوجه Object Oriented Programming وإطارات العمل Frameworks . لذا يوصي الباحثون بتطوير هذه الأداة من خلال زيادة عدد الثغرات المستهدفة، ربط الأداة بأداة أخرى تعمل بمبدأ التحليل الديناميكي، تطوير أدوات مماثلة لمنصات الهواتف الذكية ومعالجة الضعف المصاحب للأداة.

Most of the Sudanese Websites are under attacks. These attacks are based on vulnerabilities and errors committed by the software developers. The most dangerous vulnerabilities are SQL Injection and Cross Site Scripting according to OWASP. Hackers exploit rich information displayed within error message and also use non sanitized user inputs to inject their malicious code and carry out their attacks. Although of the seriousness of that, there are no real steps to solve these problems. In this Paper, an automated tool has been built to deal with SQL Injection and XSS vulnerabilities. This tool has been built depending on Complier Design concepts and Regular Expressions techniques. This tool consists of three sub-tools each of which can act alone. When using it as one tool, we can find that the three sub-tools are logically interrelated. The first sub-tool prevents web applications from generating useful error messages. The second sub-tool scan PHP source code to detect taint vulnerabilities that can cause SQL Injection and accurately determine its locations. The third tool solves the problem partially as it sanitizes the Superglobals. The tool showed highly effective results when tested on real websites. Where the second sub-tool success ratio is 87.95. The tool showed some weaknesses on web applications that have been developed using Object Oriented Programming and Frameworks. The researchers recommend to keep developing the tool by increasing the number of vulnerabilities to be checked, merge the tool with a dynamic one, develop similar tools for smart phones, and solving the associated weakness of the tool.

ISSN: 1858-6228

عناصر مشابهة