سال انتشار: ۱۳۸۹

محل انتشار: هفتمین کنفرانس انجمن رمز ایران

تعداد صفحات: ۸

نویسنده(ها):

احسان اعرابی – مرکز تخصصی آپا دانشگاه صنعتی اصفهان
مهدی برنجکوب – عضو هیئت علمی دانشگاه صنعتی اصفهان
محمدعلی منتظری – عضو هیئت علمی دانشگاه صنعتی اصفهان

چکیده:

افزایش تنوع و گسترش استفاده از خدمات تحت وب، تهدیدهای مختلفی متوجه کارگزاران و کاربران آن شده است. یکی از تهدیدهای مطرح و پرمخاطره در این زمینه، حمله تزریق SQLاست. حمله تزریقSQLمیتواند منجر به افشای اطلاعات، دور زدن مکانیزمهای احراز اصالت، حذف یا درج اطلاعات درپایگاه داده و تغییرات در سیستم شود. بدین ترتیب توسعهگران برنامههای کاربردی تحت وب تمایل دارند از امنیت محصول خود در مقابل این نوع حمله اطمینان حاصل کنند. برای اطمینان از امنیت یک برنامه کاربردی تحت وب در مقابل حمله تزریقSQLمیبایست آن را با ابزارهای آزمون حمله تزریقSQLآزمود. در این مقاله طراحی و پیادهسازی ابزاری برای آزمون برنامههای کاربردی تحت وب شرح داده خواهد شد که نه تنها قادر به انجام آزمونی موثر و پوشاست، بلکه فاقد موارد مثبت کاذب در تشخیص آسیبپذیری خواهد بود. این ابزار نیازی به تفسیر یا تغییر کد منبع ندارد. همینطور در مواردی که برنامه کاربردی پرسوجوهای پویا تولید میکند نیز قابل استفاده است. این ابزار برای آزمون برنامههای کاربردی معتبری بکار گرفته شد و توانست چندین نقطه قابل تزریق را در آنان بیابد.