Прикладная дискретная математика
RUS  ENG    ЖУРНАЛЫ   ПЕРСОНАЛИИ   ОРГАНИЗАЦИИ   КОНФЕРЕНЦИИ   СЕМИНАРЫ   ВИДЕОТЕКА   ПАКЕТ AMSBIB  
Общая информация
Последний выпуск
Архив
Импакт-фактор

Поиск публикаций
Поиск ссылок

RSS
Последний выпуск
Текущие выпуски
Архивные выпуски
Что такое RSS


ПДМ:
Год:
Том:
Выпуск:
Страница:
Найти




Персональный вход:
Логин:
Пароль:
Запомнить пароль
Войти
Забыли пароль?
Регистрация

Прикладная дискретная математика, 2021, номер 53, страницы 32–54
DOI: https://doi.org/10.17223/20710410/53/3 (Mi pdm745) 		 
Математические основы компьютерной безопасности

Обнаружение серверных точек взаимодействия в веб-приложениях на основе анализа клиентского JavaScript-кода

Д. А. Сигалов, А. А. Хашаев, Д. Ю. Гамаюнов

МГУ имени М. В. Ломоносова, г. Москва, Россия
PDF полного текста (770 kB)
Список литературы:
PDF
HTML
DOI: https://doi.org/10.17223/20710410/53/3
Аннотация: Рассматривается задача обнаружения серверных точек взаимодействия в динамических веб-приложениях в контексте анализа защищенности веб-приложений в модели «черного ящика». Предложен метод повышения полноты обнаружения серверных интерфейсов на основе статического анализа клиентского кода JavaScript для поиска в нем функций, которые порождают HTTP-запросы к серверной стороне приложения, и определения возможных значений параметров найденных функций. В контексте решаемой задачи статический анализ позволяет находить такие функции в том числе в недостижимом или мёртвом JavaScript-коде, что в ряде случаев позволяет обнаружить серверные интерфейсы, скрытые для динамического анализа. Проведено экспериментальное исследование полноты выявления серверных точек взаимодействия предложенным алгоритмом на синтетическом веб-приложении, уязвимом к SQL-инъекции, и сравнение с популярными сканерами защищенности веб-приложений. Показано, что использование статического анализа клиентского JavaScript-кода в дополнение к традиционному динамическому краулингу приложений может значительно повысить полноту выявления серверных точек взаимодействия в веб-приложениях.
Ключевые слова: веб-приложения, статический анализ, JavaScript.
Финансовая поддержка Номер гранта
Министерство науки и высшего образования Российской Федерации 7/1251/2019
В работе использованы результаты проекта «Система автоматического поиска уязвимостей в веб-приложениях на основе обработки больших данных», выполняемого в рамках реализации Программы Центра компетенций Национальной технологической инициативы «Центр хранения и анализа больших данных», поддерживаемого Министерством науки и высшего образования РФ по Договору МГУ имени М. В. Ломоносова с Фондом поддержки проектов Национальной технологической инициативы от 15.08.2019 № 7/1251/2019.
Реферативные базы данных:
Тип публикации: Статья
УДК: 004.056.53
Образец цитирования: Д. А. Сигалов, А. А. Хашаев, Д. Ю. Гамаюнов, “Обнаружение серверных точек взаимодействия в веб-приложениях на основе анализа клиентского JavaScript-кода”, ПДМ, 2021, № 53, 32–54
Цитирование в формате AMSBIB
\RBibitem{SigKhaGam21}
\by Д.~А.~Сигалов, А.~А.~Хашаев, Д.~Ю.~Гамаюнов
\paper Обнаружение серверных точек взаимодействия в~веб-приложениях на~основе анализа клиентского~JavaScript-кода
\jour ПДМ
\yr 2021
\issue 53
\pages 32--54
\mathnet{http://mi.mathnet.ru/pdm745}
\crossref{https://doi.org/10.17223/20710410/53/3}
Образцы ссылок на эту страницу:
  • https://www.mathnet.ru/rus/pdm745
  • https://www.mathnet.ru/rus/pdm/y2021/i3/p32
    • Citing articles in Google Scholar: Russian citations, English citations
    Related articles in Google Scholar: Russian articles, English articles
    		Прикладная дискретная математика
    Статистика просмотров:
    Страница аннотации:272
    PDF полного текста:316
    Список литературы:31
     
      Обратная связь:
    		  Пользовательское соглашение  Регистрация посетителей портала  Логотипы © Математический институт им. В. А. Стеклова РАН, 2024