العنوان بلغة أخرى: |
Build A Software Tool for Search and Prevention against Cross Site Scripting Vulnerability in Web Applications |
---|---|
المؤلف الرئيسي: | عبدالله، محمد حسن أحمد (مؤلف) |
مؤلفين آخرين: | يوسف، عوض الكريم محمد (مشرف) |
التاريخ الميلادي: |
2016
|
موقع: | الخرطوم |
الصفحات: | 1 - 294 |
رقم MD: | 854144 |
نوع المحتوى: | رسائل جامعية |
اللغة: | العربية |
الدرجة العلمية: | رسالة دكتوراه |
الجامعة: | جامعة النيلين |
الكلية: | كلية الدراسات العليا |
الدولة: | السودان |
قواعد المعلومات: | Dissertations |
مواضيع: | |
رابط المحتوى: |
المستخلص: |
تعاني تطبيقات الويب حاليا من انعدام الأمن في طبقة التطبيقات، وذلك نتيجة لاتخاذ المطورين طرق مختصرة لتطويرها واعتمادهم على عدد من البرمجيات الجاهزة والمفتوحة المصدر لتطوير العديد من مواقع الويب دون النظر بعمق في هيكلية هذه اللغات ودراسة مدى السرية والأمان الذي يمكن أن تقدمه هذه اللغات لبرامجهم والتي تمكن المخترقين من مهاجمة البنية التحتية الضعيفة للتطبيق. إن الكثير من هذه الهجمات يعتمد بشكل أساسي على ثغرات وأخطاء برمجية يرتكبها مطوري هذه المواقع والتطبيقات. ولعل من أشهر هذه الثغرات وأكثرها خطورة، ثغرة Cross Site Scripting وذلك بحسب مؤسسة Trustwave Global Security. إن مدخلات المستخدم غير المعقمة تعتبر هي البوابة التي يستغلها الكثير من المخترقين لحقن شيفرات برمجية خبيثة تودي إلى منحهم كافة الصلاحيات على تطبيقات وخدمات الويب. وعلى الرغم من خطورة ما ذكر، إلا أنه لا توجد خطوات بحجم المشكلة لتطوير أدوات تقوم بمحاولة اكتشاف ومنع هذه الثغرات الخطيرة. تهدف هذه الدراسة لبناء أداة برمجية مؤتمتة لحل مشكلة ثغرة Cross Site Scripting وقد تمت الاستفادة من مزايا مفاهيم تصميم المترجمات وتقنيات التعابير القياسية Regular Expression في بناء هذه الأداة. تتكون هذه الأداة من أداتين فرعيتين كل منها يمكن أن يعمل بمفرده. وعند التعامل معهم كوحدة واحدة نجد أنهم مترابطين منطقيا. حيث نجد أن الأداة الأولى تستخدم التحليل الاستاتيكي لتحليل أي تطبيق ويب تمت كتابة شيفرته البرمجية عن طريق لغة PHP مع نظام إدارة قواعد البيانات MySQL واكتشاف ثغرة Cross Site Scripting به مع تحديد موضع الثغرة بكل دقة. أما الأداة الثانية فتم بناؤها على أساس أن كل أدوات التحليل المعروفة الأخرى تقوم باكتشاف الثغرة دون تقديم حلول واضحة لهذه المشكلة، أما هذه الأداة فتستهدف تعقيم جميع مستقبلات مدخلات المستخدم قبل التعامل معها (أي ترميزها وتصفيتها). تم اختبار الأداة على عدد من مواقع الويب الحقيقية. حيث أظهرت نتائج الاختبار التي تمت على العديد من مواقع الويب نتائج مرضية جدا وفعالة. إلا أن الأداة أظهرت بعض الضعف في التطبيقات التي تمت برمجتها عن طريق البرمجة الكائنية التوجه Object Oriented Programming وإطارات العمل Frameworks. لذا يوصي الباحث بتطوير هذه الأداة من خلال زيادة عدد الثغرات المستهدفة، ربط الأداة بأداة أخرى تعمل بمبدأ التحليل الديناميكي، ومعالجة الضعف المصاحب للأداة. |
---|