Обнаружение и предотвращение атак с проверкой ввода в веб-приложениях с использованием детерминированных автоматов с магазинной памятью

Abstract

В данной статье показано, как поверхность атаки идентичности, которая является горячей точкой для атаки с проверкой ввода, может указать разработчикам приложений и тестировщикам, какая часть исходного кода должна быть проанализирована в ходе тестирования веб-приложения для выявления и предотвращения IVAs. Отсутствие этой достоверной информация приводит к потере времени и ресурсов для проверки уязвимостей в приложении, однако не является проблемой для небольших приложений, и наоборот, их увеличение порождает проблему. Существующие подходы к обеспечению безопасности традиционных приложений не всегда достаточны при рассмотрении веб-парадигмы и часто ltkf.n конечных пользователей ответственны за защиту ключевых аспектов обслуживания. Эта ситуация должна быть предотвращена, так как при не очень хорошем управлении она может допустить ненадлежащее использование веб-приложения и привести к нарушению требований его безопасности.

Належна перевірка вводу та дезинфекції є критичною проблемою при разробці веб-додатків. Помилки та недоліки в операціях перевірки спричиняють зловмисну поведінку у веб-додатку, злочинцям неважко буде їх використати. Оскільки зловмисники стрімко набувають навиків та здібностей, вони зосереджені на вивченні вразливостей у веб-додатках та намагаються наразити на небезпеку конфіденційність, цілісність та доступність інформаційної системи. Атаки з перевіркою вводу (Input Validation Attacks — IVA) — це коли хакер відправляє шкідливі дані (чіт-коди), щоб заплутати веб-додатки та отримати доступ або знищити кінець додатка без відома користувача. Перевірка вводу — це перша лінія захисту для таких атак. Приклади атак з перевіркою вводу включають в себе міжсайтовий скриптинг (Cross Site Scripting — XSS), атаку SQL-інєкцій (SQL Injection Attack — SQLIA), переповнення буфера та зворотний шлях у каталогах. Використовуючи атаки з перевіркою коду, хакери можуть викрасти конфіденційні дані, що знижують ринкову вартість організації. У цьому проекті досліджено проблему виявлення та усунення похибок перевірки як клієнтського, так і серверного коду з використанням даного підходу. Запропоновано нову ідею, що сприяє виявленню та усуванню атаки з перевіркою коду з використанням статичного та динамічного аналізу.

The proper validation of input and sanitization is critical issue in developing web applications. Errors and flaws in validation operations resulting in malicious behavior in web application can be easily exploited by attackers. Since attackers are rapidly developing their skills and abilities they focus on exploring vulnerabilities in the web applications and try to compromise confidentiality, integrity and availability of information system. Input Validation Attacks (IVAs) are the attacks where a hacker sends malicious inputs (cheat codes) to confuse a web application in order to have access or destroy back end of application without knowledge of users. Input validation serves as the first line of defense for such attacks. Examples of input validation attacks include Cross Site Scripting (XSS), SQL Injection Attack (SQLIA), buffer overflow and directory traversal. Using Input validation attacks hackers can steal the sensitive data which decrease organization market value. In this project, we investigate the problem of detection and removal of validation bugs both at the client-side and the server-side code by using our approach. In this paper we proposed new idea that makes it possible to able detect and prevent input validation attack using Static and Dynamic Analysis.