Вдосконалена імітаційна модель технологій тестування безпеки Web-додатків. В основу розробки покладено основні положення теорії масштабування імітаційних моделей в рамках алгоритмічного спрощення на основі оцінки транзитивної залежності по управлінню і даним. Відмінною особливістю розробленої імітаційної моделі є адаптація вибору вхідних операторів управління і даних до підвищення вимог оперативності розробки та реалізації моделі, виражена в реалізації процедури взаємодії з реальним браузером з використанням засобів автоматизації браузера і формуванні даних для атаки на декількох діалектах. В імітаційній моделі технології тестування вразливостей пропонується не тільки просте абстрагування від несуттєвого оператора, а і його заміна на більш ефективний, з точки зору точності кінцевих результатів перевірки, оператор. Для зниження витрат часу на імітаційне моделювання було вирішено провести масштабування шляхом заміни процедур інформаційного обміну з сервером за допомогою HTTP клієнта на процедури взаємодії з реальним браузером з використанням засобів автоматизації браузера. Крім основної мети масштабування ця заміна дозволить підвищити достовірність результату тестування атаки з ін'єкцією JavaScript коду. При цьому як засіб автоматизації браузера вибрано бібліотеку Selenium Webdriver. Однією зі складностей тестування уразливості до SQL ін'єкцій є велика кількість діалектів SQL в залежності від використовуваної системи управління базами даних. Цей факт змушує формувати дані для атаки на декількох діалектах для максимального покриття векторів атаки. З одного боку це збільшує кількість вхідних даних імітаційної моделі, підвищує складність проекту і негативно впливає на загальні часові характеристики реалізації та проведення тестування уразливості. З іншого боку, використовуючи запропонований підхід масштабування можна істотно знизити складність проекту, не погіршуючи якісних характеристик. В основу запропонованого підходу алгоритмічного спрощення імітаційного моделювання прокладені вдосконалені процедури оцінки транзитивної залежності по управлінню і даним. Визначено допустимість і доцільність використання оцінки транзитивної залежності, що знизить обчислювальну складність реалізованих алгоритмів у порівнянні з алгоритмами оцінки прямої залежності до 1,5 раз.

  Повний текст PDF - 308.484 Kb    Зміст випуску     Цитування публікації

  Якщо, ви не знайшли інформацію про автора(ів) публікації, маєте бажання виправити або відобразити більш докладну інформацію про науковців України запрошуємо заповнити "Анкету науковця"