پیش بینی آسیب پذیری در برابر حملات در برنامه‌های کاربردی تحت وب
  •   آرشیو : نسخه تابستان 1401
  •   کد پذیرش : 1399
  •   موضوع : نرم افزار
  • نویسنده/گان : | سمیه نصیری
  •   زبان : فارسی
  •   نوع مقاله : پژوهشی
  •   چکیده مقاله به فارسی : ساختن وب سایت ایمن برای برنامه نویسان وب وقت گیر، پرهزینه و چالش برانگیز است. محققان برای شناسایی سینک‌های صفحه وب از آنجا که به کاهش زمان و هزینه ایمن سازی برنامه وب کمک می‌کند، مدل‌های مختلف پیش بینی آسیب پذیری در برابر حملات وب را معرفی می‌کنند. همچنین روش‌های مختلف یادگیری ماشین توسط مدل‌های پیش بینی آسیب پذیری در برابر حملات موجود برای جلوگیری از مؤلفه‌های آسیب پذیر در برنامه‌های وب استفاده می‌شود. با این حال، اکثر این روش‌ها نمی‌توانند همه آسیب پذیری در برابر حملات های وب را به چالش بکشند. بنابراین، در این مقاله روشی با عنوان NM-PREDICTOR برای پیش بینی آسیب پذیری در برابر حملات در وب سایت‌ها به عنوان یک مشکل طبقه بندی شده با پیش تعیین کد معتبر یا آسیب پذیر پیشنهاد شده است. علاوه بر این، از طبقه بندی در طبقه‌های مختلف الگوریتم‌های یادگیری ماشین برای قضاوت در مورد حذف اجزای آسیب پذیر استفاده شده است. این روش برروی مجموعه داده‌های سه برنامه کاربردی وب ارزیابی شده ، که 223 آسیب پذیری در برابر حملات با کیفیت عالی را که در PHPMyAdmin، Moodle و Drupal یافت می‌شود، ارائه می‌دهد. روش پیشنهادی نسبت به نتایج مطالعات موجود در مورد Drupal، PHPMyAdmin و Moodle مزیت بالایی دارد.
  •   لیست منابع : [1] T. Scholte, W. Robertson, D. Balzarotti, and E. Kirda, “Preventing input validation vulnerabilities in web applications through automated type analysis”, In: 2012 IEEE 36th Annual Computer Software and Applications Conference (COMPSAC), pp. 233-243. 2012.
    [2] D.Wijayasekara, M. Manic, J. L. Wright, and M. McQueen, “Mining bug databases for unidentified software vulnerabilities”, In: 2012 5th International Conference on Human System Interactions (HSI), pp. 89-96, 2012.
    [3] L.K. Shar, and H.B.K. Tan, “Mining input sanitization patterns for predicting SQL injection and cross site scripting vulnerabilities”, In: Proceedings of the 34th International Conference on Software Engineering, pp. 1293-1296, 2012.
    [4] L.K. Shar, and H.B.K. Tan, “Predicting common web application vulnerabilities from input validation and sanitization code patterns”, In: 2012 Proceedings of the 27th IEEE/ACM International Conference on Automated Software Engineering (ASE), pp. 310-313, 2012.
    [5] G.M. Howard, C.N. Gutierrez, F.A. Arshad, S. Bagchi, and Y. Qi, “pSigene: webcrawling to generalize SQL injection signatures”, In: 2014 44th Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN), pp. 45-56, 2014.
    [6] G. Grieco, G.L. Grinblat, L. Uzal, S. Rawat, J. Feist, and L. Mounier, “Toward large-scale vulnerability discovery using machine learning”, In: Proceedings of the Sixth ACM Conference on Data and Application Security and Privacy, pp. 85-96, 2016.
    [7] D. Taibi, A. Janes, and V. Lenarduzzi, “How developers perceive smells in source code: a replicated study”, Inf. Softw. Technol, 92, 223-235, 2017.
    [8] S. Neuhaus, T. Zimmermann, C. Holler, and A. Zeller, “Predicting vulnerable software components”, In Proceedings of the 14th ACM Conference on Computer and Communi- cations Security, pp. 529-540, 2007.
    [9] Medeiros, N. Neves, and M. Correia, “Detecting and removing web application vulnerabilities with static analysis and data mining”, IEEE Trans. Reliab, Vol. 65, No. 1, pp. 54-69, 2016.
    [10] Y. Wang, Y. Wang, and J. Ren, “Software vulnerabilities detection using rapid density-based clustering”, J. Inf. Comput. Sci., Vol. 8, No. 14, pp. 3295-3302, 2011.
    [11] J. Walden, J. Stuckman, and R. Scandariato, “Predicting vulnerable components: software metrics vs text mining”, In: 2014 IEEE 25th International Symposium on Software Reliability Engineering (ISSRE), pp. 23-33, 2014.
    [12] S. Gupta, and B.B. Gupta, “Cross-site Scripting (XSS) attacks and defense mechanisms: classification and state-of-the-art”, Int. J. Syst. Assur. Eng. Manag., Vol. 8, No. 1, pp. 512-530, 2017.
    [13] Y. Zhang, D. Lo, X. Xia, B. Xu, J. Sun, and S. Li, “Combining software metrics and text features for vulnerable file prediction”, In: 2015 20th International Conference on Engineering of Complex Computer Systems (ICECCS), pp. 40-49, 2015.
    [14] F. Palomba, G. Bavota, M. Di Penta, F. Fasano, R. Oliveto, A. De Lucia, “A large-scale empirical study on the lifecycle of code smell co-occurrences”, Inf. Softw. Technol, 99, 1-10, 2018.
    [15] Web Vulnerability Scanners: A Case Study, Angel Rajan, Emre Erturk, Eastern Institute of Technology, Hawke’s Bay.
  •   کلمات کلیدی به فارسی : امنیت شبکه، حملات سایبری، آسیب پذیری در برابر حملات، برنامه‌های تحت وب، مجموعه داده‌ها.
  •   چکیده مقاله به انگلیسی : Building a secure website is time-consuming, expensive and challenging for web developers. Researchers introduce different vulnerability prediction models against web attacks to identify web page sinks because it helps to reduce the time and cost of web application security. Also, different machine learning methods are used by existing attack vulnerability prediction models to prevent vulnerable components in web applications. However, most of these methods cannot challenge all vulnerabilities against web attacks.
    Therefore, in this paper, a method called NM-PREDICTOR is proposed to predict vulnerability to attacks in websites as a classified problem by predetermining valid or vulnerable code. In addition, classification in different classes of machine learning algorithms has been used to judge the removal of vulnerable components.
    The method is evaluated on a dataset of three web applications, which presents 223 high-quality attack vulnerabilities found in PHPMyAdmin, Moodle, and Drupal. The proposed method has a high advantage over the results of existing studies on Drupal, PHPMyAdmin and Moodle.
  •   کلمات کلیدی به انگلیسی : Network Security, Cyber Attacks, Vulnerability to Attacks, Web Applications, Data Collectio
  •  صفحات : 1-12
  •   دانلود فایل ( 469.48 KB )