Технологія тестування DOM XSS уразливості
Наукові журнали НАУ
Переглянути архів ІнформаціяПоле | Співвідношення | |
Title |
Технологія тестування DOM XSS уразливості
Технология тестирования DOM XSS уязвимости DOM XSS vulnerability testing technology |
|
Creator |
Коваленко, Александр Владимирович; Центральноукраинский национальный технический университет, Украина
|
|
Subject |
Інформаційна безпека
тестування; DOM XSS уразливості; GERT-мережі; уразливості безпеки УДК 004.41:004.056 (045) Информационная безопасность тестирование; DOM XSS уязвимости; GERT-сети; уязвимости безопасности УДК 004.41:004.056 (045) Information security testing; DOM XSS vulnerabilities; GERT-network; security vulnerabilities — |
|
Description |
В роботі представлені результати дослідження та алгоритми тестування на вразливість до одних з найбільш поширених видів атак на Web-додатки - Міжсайтовий Скриптінг - XSS (Cross Site Scripting) - DOM XSS. Міжсайтовий скриптинг це помилка валідації призначених для користувача даних, яка дозволяє передати JavaScript код на виконання в браузер користувача. Атаки такого роду часто також називають HTML-ін'єкціями, адже механізм їх впровадження дуже схожий з SQL-ін'єкціями, але на відміну від останніх, впроваджуваний код виповнюється в браузері користувача. Аргументовано обраний підхід математичного моделювання на основі GERT-мереж. Проведені дослідження показали, що GERT (Graphical Evaluation and Review Technique) - є методом вивчення та аналізу стохастичних мереж, які використовуються для опису логічного взаємозв'язку між частинами проекту або етапами процесу. Головною метою GERT є оцінка логіки мережі і тривалість активності і отримання висновку про необхідність виконання деяких активностей. Розроблено технологію тестування Web-додатків і відповідний комплекс математичних моделей. В основу математичного моделювання покладено підхід GERT-мережевого синтезу. В результаті розроблено математичні моделі технології тестування DOM XSS уразливості. Математична модель технології тестування DOM XSS уразливості відрізняється від відомих, урахуванням виконання або аналізу DOM структури. Розроблену технологію можна використовувати при тестуванні на вразливість Web-додатку.
В работе представлены результаты исследования и алгоритмы тестирования на уязвимость к одним из наиболее распространенных видов атак на Web-приложения – межсайтовому скриптингу – XSS (Cross Site Scripting) – DOM XSS. Межсайтовый скриптинг это ошибка валидации пользовательских данных, которая позволяет передать JavaScript код на исполнение в браузер пользователя. Атаки такого рода часто также называют HTML-инъекциями, ведь механизм их внедрения очень схож с SQL-инъекциями, но в отличие от последних, внедряемый код исполняется в браузере пользователя. Аргументировано выбран подход математического моделирования на основе GERT-сетей. Проведенные исследования показали, что GERT (Graphical Evaluation and Review Technique) – является методом изучения и анализа стохастических сетей, используемых для описания логической взаимосвязи между частями проекта или этапами процесса. Главной целью GERT является оценка логики сети и продолжительность активности и получения заключения о необходимости выполнения некоторых активностей. Разработана технология тестирования Web-приложений и соответствующий комплекс математических моделей. В основу математического моделирования положен подход GERT-сетевого синтеза. В результате разработаны математические модели технологии тестирования DOM XSS уязвимости. Математическая модель технологии тестирования DOM XSS уязвимости отличается от известных, учетом выполнения или анализа DOM структуры. Разработанную технологию можно использовать при тестировании на уязвимость Web-приложения. The paper presents research results and vulnerability testing algorithms for one of the most common types of attacks on Web-based applications - cross site scripting - XSS (Cross Site Scripting) - DOM XSS. Cross-site scripting is the error of validating user data, which allows you to pass JavaScript code to execution in the user's browser. Attacks of this kind are often also called HTML injections, because the implementation mechanism is very similar to SQL injections, but unlike the latter, the implemented code is executed in the user's browser. The approach of mathematical modeling on the basis of GERT-networks is argued. Studies have shown that GERT (Graphical Evaluation and Review Technique) is a method of studying and analyzing stochastic networks used to describe the logical relationship between parts of a project or process steps. The main goal of GERT is to evaluate the logic of the network and the duration of activity and to obtain an opinion on the need to perform certain activities. The technology of testing Web-applications and the corresponding complex of mathematical models is developed. The basis of mathematical modeling is the approach of GERT-network synthesis. As a result, mathematical models of DOM XSS testing technology have been developed. The mathematical model of the testing technology of the DOM XSS vulnerability differs from the known, taking into account the execution or analysis of the DOM structure. The developed technology can be used in testing for the vulnerability of a Web application. |
|
Publisher |
Національний авіаційний університет
|
|
Contributor |
—
— — |
|
Date |
2017-09-20
|
|
Type |
—
— — |
|
Format |
—
application/pdf |
|
Identifier |
http://jrnl.nau.edu.ua/index.php/Infosecurity/article/view/11821
10.18372/2225-5036.23.11821 |
|
Source |
Безпека інформації; Том 23, № 2 (2017); 73-79
Безопасность информации; Том 23, № 2 (2017); 73-79 Ukrainian Scientific Journal of Information Security; Том 23, № 2 (2017); 73-79 |
|
Language |
en
|
|