Пошук академічних текстів

Інформація × Реєстраційний номер 2119U001146, Матеріали видань та локальних репозитаріїв Категорія Стаття, Опубліковано, Рецензована стаття Назва роботи МАТЕМАТИЧНА МОДЕЛЬ ТЕХНОЛОГІЇ ТЕСТУВАННЯ ВРАЗЛИВОСТІ ДО SQL ІН’ЄКЦІЙ Автор Kovalenko O.Kovalenko O. Дата публікації 28-12-2019 Постачальник інформації Національний університет «Полтавська політехніка імені Юрія Кондратюка» Першоджерело https://journals.nupp.edu.ua/sunz/article/view/1736 Видання Національний університет «Полтавська політехніка імені Юрія Кондратюка» Опис В роботі представлені результати дослідження та алгоритми тестування на вразливість до однієї з найбільш поширених видів атак на Web-застосунки SQL ін'єкції. На основі аналізу методології тестування уразливості Web-застосунків до DOM XSS і матеріалів Open Web Application Security Project, розроблений алгоритм аналізу уразливості Web-застосунків до SQL ін'єкцій. Відмінною особливістю даного алгоритму є облік тільки уразливості, яка є в GET параметрах URL і використовує тільки сліпий метод ін'єкції SQL коду, що використовує особливість використання булевих операторів в SQL запитах (Boolean blind SQL injection). На підставі поданого алгоритму розроблена GERT-модель технології тестування уразливості до SQL ін'єкцій. В розробленій моделі вузли графа інтерпретуються станами комп'ютерної системи в процесі тестування уразливості до SQL ін'єкцій, а гілки графа – ймовірносно-тимчасовими характеристиками переходів між станами. Таким чином, на основі експоненційної GERT-мережі розроблено математичну модель технології тестування уразливості до SQL ін'єкцій, яка відрізняється від відомих, вдосконаленим способом визначення відстані між результатами ін'єкції. Використання в запропонованому способі критерію Джаро-Вінклера, для порівняння результатів ін'єкції SQL коду і введення порогового значення дозволить підвищити точність результатів тестування безпеки програмного забезпечення. Розглянуто приклад атаки SQL ін'єкцій, суть яких – впровадження в дані (передані через GET, POST запити або значення Cookie ) довільного SQL коду. Побудовано графіки, зовнішній вигляд кривих яких дає підстави припустити, що не всі знайдені рішення застосовні при математичному та імітаційному моделюванні в якості вхідних даних. У той же час зовнішній вигляд графіків, отриманих для інших значень дає підстави припустити, що випадкова величина часу виконання технології тестування уразливості до SQL ін'єкцій відповідає гамма-розподілу (близьке до експоненціального). Перевірка цієї гіпотези проведена за критерієм χ2 Пірсона Додано в НРАТ 2026-04-19 Закрити