بناء أداة برمجية للبحث والوقاية من ثغرة البرمجة عبر المواقع في تطبيقات الويب
| العنوان بلغة أخرى: |
Build A Software Tool for Search and Prevention against Cross Site Scripting Vulnerability in Web Applications |
|---|---|
| المؤلف الرئيسي: | عبدالله، محمد حسن أحمد (مؤلف) |
| مؤلفين آخرين: | يوسف، عوض الكريم محمد (مشرف) |
| التاريخ الميلادي: |
2016
|
| موقع: | الخرطوم |
| الصفحات: | 1 - 294 |
| رقم MD: | 854144 |
| نوع المحتوى: | رسائل جامعية |
| اللغة: | العربية |
| الدرجة العلمية: | رسالة دكتوراه |
| الجامعة: | جامعة النيلين |
| الكلية: | كلية الدراسات العليا |
| الدولة: | السودان |
| قواعد المعلومات: | Dissertations |
| مواضيع: | |
| رابط المحتوى: |
عدد مرات التحميل
288
| المستخلص: |
تعاني تطبيقات الويب حاليا من انعدام الأمن في طبقة التطبيقات، وذلك نتيجة لاتخاذ المطورين طرق مختصرة لتطويرها واعتمادهم على عدد من البرمجيات الجاهزة والمفتوحة المصدر لتطوير العديد من مواقع الويب دون النظر بعمق في هيكلية هذه اللغات ودراسة مدى السرية والأمان الذي يمكن أن تقدمه هذه اللغات لبرامجهم والتي تمكن المخترقين من مهاجمة البنية التحتية الضعيفة للتطبيق. إن الكثير من هذه الهجمات يعتمد بشكل أساسي على ثغرات وأخطاء برمجية يرتكبها مطوري هذه المواقع والتطبيقات. ولعل من أشهر هذه الثغرات وأكثرها خطورة، ثغرة Cross Site Scripting وذلك بحسب مؤسسة Trustwave Global Security. إن مدخلات المستخدم غير المعقمة تعتبر هي البوابة التي يستغلها الكثير من المخترقين لحقن شيفرات برمجية خبيثة تودي إلى منحهم كافة الصلاحيات على تطبيقات وخدمات الويب. وعلى الرغم من خطورة ما ذكر، إلا أنه لا توجد خطوات بحجم المشكلة لتطوير أدوات تقوم بمحاولة اكتشاف ومنع هذه الثغرات الخطيرة. تهدف هذه الدراسة لبناء أداة برمجية مؤتمتة لحل مشكلة ثغرة Cross Site Scripting وقد تمت الاستفادة من مزايا مفاهيم تصميم المترجمات وتقنيات التعابير القياسية Regular Expression في بناء هذه الأداة. تتكون هذه الأداة من أداتين فرعيتين كل منها يمكن أن يعمل بمفرده. وعند التعامل معهم كوحدة واحدة نجد أنهم مترابطين منطقيا. حيث نجد أن الأداة الأولى تستخدم التحليل الاستاتيكي لتحليل أي تطبيق ويب تمت كتابة شيفرته البرمجية عن طريق لغة PHP مع نظام إدارة قواعد البيانات MySQL واكتشاف ثغرة Cross Site Scripting به مع تحديد موضع الثغرة بكل دقة. أما الأداة الثانية فتم بناؤها على أساس أن كل أدوات التحليل المعروفة الأخرى تقوم باكتشاف الثغرة دون تقديم حلول واضحة لهذه المشكلة، أما هذه الأداة فتستهدف تعقيم جميع مستقبلات مدخلات المستخدم قبل التعامل معها (أي ترميزها وتصفيتها). تم اختبار الأداة على عدد من مواقع الويب الحقيقية. حيث أظهرت نتائج الاختبار التي تمت على العديد من مواقع الويب نتائج مرضية جدا وفعالة. إلا أن الأداة أظهرت بعض الضعف في التطبيقات التي تمت برمجتها عن طريق البرمجة الكائنية التوجه Object Oriented Programming وإطارات العمل Frameworks. لذا يوصي الباحث بتطوير هذه الأداة من خلال زيادة عدد الثغرات المستهدفة، ربط الأداة بأداة أخرى تعمل بمبدأ التحليل الديناميكي، ومعالجة الضعف المصاحب للأداة. |
|---|
عناصر مشابهة
-
بناء أداة للكشف والحماية من ثغرتي حقن لغة الاستعلام البنائية والبرمجة عبر المواقع
بواسطة: فضل الله، عثمان النور سليمان منشور: (2016) -
فاعلية برنامج تدريبي قائم على الاحتياجات التدريبية باستخدام تطبيقات جوجل في تنمية مهارات تطوير مواقع الويب لدى معلمي الحاسب الآلي
بواسطة: أحمد، تامر محمد مصباح السيد منشور: (2021) -
استخدام نمطي الدعم الإلكتروني في بيئة الفصل المعكوس لتنمية مهارات إنتاج صفحات الويب التعليمية لدى تلاميذ الصف الثاني الإعدادي
بواسطة: خليفة، حسن محمد حويل منشور: (2022) -
للغة Extensible Markup Language - XML مفهومها ودورها على الانترنت
بواسطة: عبدالجواد، سامح زينهم منشور: (2004) -
حلول برمجية
بواسطة: خليل، إيناس أحمد منشور: (2009)
