Дослідження методів автоматизованого пошуку вразливостей типу «sql injection» у вебдодатках
DOI:
https://doi.org/10.25140/2411-5363-2022-4(30)-113-120Ключові слова:
SQL; SQL-ін’єкція; OWASP; SPA; WVS; Black BoxАнотація
У статті представлено результати науково-методичного дослідження методів автоматизованого пошуку SQL вразливостей у вебдодатках.
Наведено приклад атаки з застосуванням типової SQL ін’єкції. Усі SQL ін’єкції будуються за подібною структурою, тобто результатом SQL ін’єкції, може бути несанкціонована зміна вмісту бази даних, або отримання доступу до інформації, яка за звичайних умов недоступна.
Наведено класифікацію методів оцінки безпеки web-додатків на основі тестування на проникнення. Зокрема, при класифікації враховуються мова програмування, тип бази даних яка використовується в додатку та використані технології. Виділено три категорії тестів, та наведені відмінності між ними.
Розглянуто підходи до тестування на проникнення такі як Black Box, White Box та Grey Box. Беручи до уваги необхідність автоматизації тестування та максимальної імітації хакерської атаки ззовні було обрано підхід Black Box підхід тестування.
Розглянуто алгоритм роботи засобів пошуку вразливостей у web-додатках, зокрема веб-сканера (WVS). Також розглянуто особливості використання традиційних методів знаходження вразливостей у web-додатках беручи до уваги типову архітектуру WVS та беручи до уваги типову відмінність у роботі WVS при роботи з традиційними вебдодатками та SPA додатками.
Наведено результати практичних досліджень роботи найуживаніших вебсканерів для автоматизованого тестування вразливості вебдодатків, зокрема досліджено сканери OWASP Zap, Arachni, Wapiti.
Обчислено індекс Юдена, який дав змогу зробити висновок, що найбільша ефективність є у сканера Wapiti, тобто він виявив найбільшу кількість вразливостей. Але навіть цей сканер має коефіцієнт Юдена менш ніж 60 %, отже задача підвищення ефективності пошуку вразливостей типу “SQL ін’єкція” є дуже актуальним для подальшого дослідження. Додатково при дослідженні було визначено, що процес сканування на предмет вразливостей типу “SQL-ін’єкція” є складнішим для додатків типу SPA (Single Page Application), що також потребує рішення в якості окремого випадку задачі підвищення ефективності пошуку вразливостей web-додатків.
Посилання
OWASP Top 10 2021, 2021. https://owasp.org/www-chapter-minneapolis-st-paul/download/20211216_OWASP-MSP_OWASP_Top_Ten_2021.pdf?raw=true.
Halfond, W.G.J., Viegas, J., Orso, A. (2006). A classification of SQL injection attacks and countermeasures, 1, 13-15.
W3C, Internet live stats. (2019). http://www.internetlivestats.com.
Mohd, Ehmer Khan, Fareema, Hkaan. (2012). A Comparative Study of White Box, Black Box, and Grey Box Testing Techniques. International Journal of Advanced Computer Science and Applications, 3(6), 12-14. https://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.261.1758&rep=rep1&type=pdf.
Benjamin, Eriksson, Giancarlo, Pellegrino, & Andrei Sabelfeld. (2021). Black Widow: Blackbox Data-driven Web Scanning”. 2021 IEEE Symposium on Security and Privacy (SP) (pp. 1125–1142). doi: 10.1109/SP40001.2021.00022.
Siham, el Idrissi, Naoual, Berbiche, Fatima, Guerouate, & Sbihi, Mohamed. (Jan. 2017). Performance evaluation of web application security scanners for prevention and protection against vulnerabilities. International Journal of Applied Engineering Research, 12, 11068–11076.
Oehlert, P. (2005). Violating assumptions with fuzzing. IEEE Security Privacy, 3.2, 58–62. doi: 10.1109/MSP.2005.55.
Barton, P. Miller, Louis, Fredriksen, & Bryan, So. (Dec. 1990). An Empirical Study of the Reliability of UNIX Utilities. Commun. ACM, 33.12, 32–44. doi: 10.1145/96267.96279.
Adam, Doupé, Marco, Cova, & Giovanni, Vigna. (2010). Why Johnny can’t pentest: An analysis of black-box web vulnerability scanners. International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment (pp. 111–131). Springer.
William, G. Halfond, Jeremy, Viegas, & Alessandro, Orso. (2006). A classification of SQLinjection attacks and countermeasures. Proceedings of the IEEE international symposium on secure software engineering. IEEE, 1, 13–15.
OWASP. (2022). OWASP Benchmark. https://www.owasp.org/index.php/Benchmark.
Vulnerability Scanning Tools (2022). https://owasp.org/www-community/Vulnerability_Scanning_Tools.
Erik, Matti. (2021). Evaluation of open source web vulnerability scanners and their techniques used to find SQL injection and cross-site scripting. Vulnerabilities.
OWASP. (2016). Fuzzing. https://www.owasp.org/index.php/Fuzzing.
OWASP ZAP. https://github.com/zaproxy.
Laskos, T. (2017). Arachni Application Security Scanner Framework. http://www.arachniscanner.com.
##submission.downloads##
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial 4.0 International License.