طراحی و پیاده سازی یک ابزار تحلیل پویای بدون مثبت کاذب برای آزمون آسیب پذیری تزریق sql

چکیده با افزایش بکارگیری برنامه های کاربردی تحت وب، مسئله امنیت اطلاعات در این زمینه از اهمیت بیشتری برخوردار می باشد. یکی از مهم ترین حمله هایی که امنیت برنامه های کاربردی تحت وب را تهدید می کند، حمله به پایگاه داده ها است. گروه عمده ای از این حملات، با نام تزریق sql شناخته شده اند. در این پروژه به مطالعه و ارزیابی روش های حمله، کشف و دفاع در این حوزه پرداخته شده است. در همین راستا یک راهکار جدید برای تشخیص موفقیت حمله تزریق sql ارائه می شود که نسبت به روش های قبلی، برتری هایی دارد. دراین روش از دو پروکسی، یکی در جلوی کارگزار وب و دیگری در جلوی پایگاه داده استفاده شده است. پروکسی اول به درهم ریزی پارامترهای درخواست http و پروکسی دوم به بازگشایی آن ها می پردازد. بدین ترتیب این روش می تواند بروز موفق یک حمله تزریق را به درستی و بدون موارد مثبت کاذب تشخیص دهد. در ادامه، با استفاده از روش پیشنهادی یک ابزار آزمون نفوذ ساخته شده است که توانایی کشف آسیب پذیری تزریق sql را دارد. این ابزار با ابزارهای موجود مقایسه شده و موارد بیشتری از آسیب پذیری را در برنامه های کاربری مورد آزمون یافته است که همگی این موارد فاقد مثبت کاذب بوده اند. همچنین این ابزار برای پویش برنامه های کاربردی تحت وب متن باز بکار گرفته شده است و توانسته است چندین نقطه قابل تزریق را در آن ها بیابد. مهم ترین مزیت روش پیشنهادی و ابزار ساخته شده، عدم گزارش مثبت کاذب و مستقل بودن از زبان و فناوری توسعه وب است. همچنین، این روش، تمامی حملات تزریق sql را پوشش داده و نیاز به مرحله یادگیری ندارد.