Обнаружение и предотвращение атак с проверкой ввода в веб-приложениях с использованием детерминированных автоматов с магазинной памятью

Обнаружение и предотвращение атак с проверкой ввода в веб-приложениях с использованием детерминированных автоматов с магазинной памятью

В данной статье показано, как поверхность атаки идентичности, которая является горячей точкой для атаки с проверкой ввода, может указать разработчикам приложений и тестировщикам, какая часть исходного кода должна быть проанализирована в ходе тестирования веб-приложения для выявления и предотвращения...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Veröffentlicht in:Проблемы управления и информатики
Datum:2019
Hauptverfasser: Нитья, В., Сентилкумар, С.
Format: Artikel
Sprache:Russian
Veröffentlicht: Інститут кібернетики ім. В.М. Глушкова НАН України 2019
Schlagworte:
Методы обработки и защиты информации
Online Zugang:https://nasplib.isofts.kiev.ua/handle/123456789/180835
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Назва журналу:Digital Library of Periodicals of National Academy of Sciences of Ukraine
Zitieren:Обнаружение и предотвращение атак с проверкой ввода в веб-приложениях с использованием детерминированных автоматов с магазинной памятью / В. Нитья, С. Сентилкумар // Проблемы управления и информатики. — 2019. — № 5. — С. 73-91. — Бібліогр.: 22 назв. — рос.

Institution

Digital Library of Periodicals of National Academy of Sciences of Ukraine
id nasplib_isofts_kiev_ua-123456789-180835
record_format dspace
spelling Нитья, В.
Сентилкумар, С.
2021-10-20T17:42:32Z
2021-10-20T17:42:32Z
2019
Обнаружение и предотвращение атак с проверкой ввода в веб-приложениях с использованием детерминированных автоматов с магазинной памятью / В. Нитья, С. Сентилкумар // Проблемы управления и информатики. — 2019. — № 5. — С. 73-91. — Бібліогр.: 22 назв. — рос.
0572-2691
https://nasplib.isofts.kiev.ua/handle/123456789/180835
004.056.53
В данной статье показано, как поверхность атаки идентичности, которая является горячей точкой для атаки с проверкой ввода, может указать разработчикам приложений и тестировщикам, какая часть исходного кода должна быть проанализирована в ходе тестирования веб-приложения для выявления и предотвращения IVAs. Отсутствие этой достоверной информация приводит к потере времени и ресурсов для проверки уязвимостей в приложении, однако не является проблемой для небольших приложений, и наоборот, их увеличение порождает проблему. Существующие подходы к обеспечению безопасности традиционных приложений не всегда достаточны при рассмотрении веб-парадигмы и часто ltkf.n конечных пользователей ответственны за защиту ключевых аспектов обслуживания. Эта ситуация должна быть предотвращена, так как при не очень хорошем управлении она может допустить ненадлежащее использование веб-приложения и привести к нарушению требований его безопасности.
Належна перевірка вводу та дезинфекції є критичною проблемою при разробці веб-додатків. Помилки та недоліки в операціях перевірки спричиняють зловмисну поведінку у веб-додатку, злочинцям неважко буде їх використати. Оскільки зловмисники стрімко набувають навиків та здібностей, вони зосереджені на вивченні вразливостей у веб-додатках та намагаються наразити на небезпеку конфіденційність, цілісність та доступність інформаційної системи. Атаки з перевіркою вводу (Input Validation Attacks — IVA) — це коли хакер відправляє шкідливі дані (чіт-коди), щоб заплутати веб-додатки та отримати доступ або знищити кінець додатка без відома користувача. Перевірка вводу — це перша лінія захисту для таких атак. Приклади атак з перевіркою вводу включають в себе міжсайтовий скриптинг (Cross Site Scripting — XSS), атаку SQL-інєкцій (SQL Injection Attack — SQLIA), переповнення буфера та зворотний шлях у каталогах. Використовуючи атаки з перевіркою коду, хакери можуть викрасти конфіденційні дані, що знижують ринкову вартість організації. У цьому проекті досліджено проблему виявлення та усунення похибок перевірки як клієнтського, так і серверного коду з використанням даного підходу. Запропоновано нову ідею, що сприяє виявленню та усуванню атаки з перевіркою коду з використанням статичного та динамічного аналізу.
The proper validation of input and sanitization is critical issue in developing web applications. Errors and flaws in validation operations resulting in malicious behavior in web application can be easily exploited by attackers. Since attackers are rapidly developing their skills and abilities they focus on exploring vulnerabilities in the web applications and try to compromise confidentiality, integrity and availability of information system. Input Validation Attacks (IVAs) are the attacks where a hacker sends malicious inputs (cheat codes) to confuse a web application in order to have access or destroy back end of application without knowledge of users. Input validation serves as the first line of defense for such attacks. Examples of input validation attacks include Cross Site Scripting (XSS), SQL Injection Attack (SQLIA), buffer overflow and directory traversal. Using Input validation attacks hackers can steal the sensitive data which decrease organization market value. In this project, we investigate the problem of detection and removal of validation bugs both at the client-side and the server-side code by using our approach. In this paper we proposed new idea that makes it possible to able detect and prevent input validation attack using Static and Dynamic Analysis.
ru
Інститут кібернетики ім. В.М. Глушкова НАН України
Проблемы управления и информатики
Методы обработки и защиты информации
Обнаружение и предотвращение атак с проверкой ввода в веб-приложениях с использованием детерминированных автоматов с магазинной памятью
Виявлення та запобігання атак з перевіркою вводу у веб-додатки при використанні детермінованих автоматів із магазинною пам'яттю
Detection and avoidance of input validation attacks in web application using deterministic push down automata
Article
published earlier
institution Digital Library of Periodicals of National Academy of Sciences of Ukraine
collection DSpace DC
title Обнаружение и предотвращение атак с проверкой ввода в веб-приложениях с использованием детерминированных автоматов с магазинной памятью
spellingShingle Обнаружение и предотвращение атак с проверкой ввода в веб-приложениях с использованием детерминированных автоматов с магазинной памятью
Нитья, В.
Сентилкумар, С.
Методы обработки и защиты информации
title_short Обнаружение и предотвращение атак с проверкой ввода в веб-приложениях с использованием детерминированных автоматов с магазинной памятью
title_full Обнаружение и предотвращение атак с проверкой ввода в веб-приложениях с использованием детерминированных автоматов с магазинной памятью
title_fullStr Обнаружение и предотвращение атак с проверкой ввода в веб-приложениях с использованием детерминированных автоматов с магазинной памятью
title_full_unstemmed Обнаружение и предотвращение атак с проверкой ввода в веб-приложениях с использованием детерминированных автоматов с магазинной памятью
title_sort обнаружение и предотвращение атак с проверкой ввода в веб-приложениях с использованием детерминированных автоматов с магазинной памятью
author Нитья, В.
Сентилкумар, С.
author_facet Нитья, В.
Сентилкумар, С.
topic Методы обработки и защиты информации
topic_facet Методы обработки и защиты информации
publishDate 2019
language Russian
container_title Проблемы управления и информатики
publisher Інститут кібернетики ім. В.М. Глушкова НАН України
format Article
title_alt Виявлення та запобігання атак з перевіркою вводу у веб-додатки при використанні детермінованих автоматів із магазинною пам'яттю
Detection and avoidance of input validation attacks in web application using deterministic push down automata
description В данной статье показано, как поверхность атаки идентичности, которая является горячей точкой для атаки с проверкой ввода, может указать разработчикам приложений и тестировщикам, какая часть исходного кода должна быть проанализирована в ходе тестирования веб-приложения для выявления и предотвращения IVAs. Отсутствие этой достоверной информация приводит к потере времени и ресурсов для проверки уязвимостей в приложении, однако не является проблемой для небольших приложений, и наоборот, их увеличение порождает проблему. Существующие подходы к обеспечению безопасности традиционных приложений не всегда достаточны при рассмотрении веб-парадигмы и часто ltkf.n конечных пользователей ответственны за защиту ключевых аспектов обслуживания. Эта ситуация должна быть предотвращена, так как при не очень хорошем управлении она может допустить ненадлежащее использование веб-приложения и привести к нарушению требований его безопасности. Належна перевірка вводу та дезинфекції є критичною проблемою при разробці веб-додатків. Помилки та недоліки в операціях перевірки спричиняють зловмисну поведінку у веб-додатку, злочинцям неважко буде їх використати. Оскільки зловмисники стрімко набувають навиків та здібностей, вони зосереджені на вивченні вразливостей у веб-додатках та намагаються наразити на небезпеку конфіденційність, цілісність та доступність інформаційної системи. Атаки з перевіркою вводу (Input Validation Attacks — IVA) — це коли хакер відправляє шкідливі дані (чіт-коди), щоб заплутати веб-додатки та отримати доступ або знищити кінець додатка без відома користувача. Перевірка вводу — це перша лінія захисту для таких атак. Приклади атак з перевіркою вводу включають в себе міжсайтовий скриптинг (Cross Site Scripting — XSS), атаку SQL-інєкцій (SQL Injection Attack — SQLIA), переповнення буфера та зворотний шлях у каталогах. Використовуючи атаки з перевіркою коду, хакери можуть викрасти конфіденційні дані, що знижують ринкову вартість організації. У цьому проекті досліджено проблему виявлення та усунення похибок перевірки як клієнтського, так і серверного коду з використанням даного підходу. Запропоновано нову ідею, що сприяє виявленню та усуванню атаки з перевіркою коду з використанням статичного та динамічного аналізу. The proper validation of input and sanitization is critical issue in developing web applications. Errors and flaws in validation operations resulting in malicious behavior in web application can be easily exploited by attackers. Since attackers are rapidly developing their skills and abilities they focus on exploring vulnerabilities in the web applications and try to compromise confidentiality, integrity and availability of information system. Input Validation Attacks (IVAs) are the attacks where a hacker sends malicious inputs (cheat codes) to confuse a web application in order to have access or destroy back end of application without knowledge of users. Input validation serves as the first line of defense for such attacks. Examples of input validation attacks include Cross Site Scripting (XSS), SQL Injection Attack (SQLIA), buffer overflow and directory traversal. Using Input validation attacks hackers can steal the sensitive data which decrease organization market value. In this project, we investigate the problem of detection and removal of validation bugs both at the client-side and the server-side code by using our approach. In this paper we proposed new idea that makes it possible to able detect and prevent input validation attack using Static and Dynamic Analysis.
issn 0572-2691
url https://nasplib.isofts.kiev.ua/handle/123456789/180835
citation_txt Обнаружение и предотвращение атак с проверкой ввода в веб-приложениях с использованием детерминированных автоматов с магазинной памятью / В. Нитья, С. Сентилкумар // Проблемы управления и информатики. — 2019. — № 5. — С. 73-91. — Бібліогр.: 22 назв. — рос.
work_keys_str_mv AT nitʹâv obnaruženieipredotvraŝenieataksproverkoivvodavvebpriloženiâhsispolʹzovaniemdeterminirovannyhavtomatovsmagazinnoipamâtʹû
AT sentilkumars obnaruženieipredotvraŝenieataksproverkoivvodavvebpriloženiâhsispolʹzovaniemdeterminirovannyhavtomatovsmagazinnoipamâtʹû
AT nitʹâv viâvlennâtazapobígannâatakzperevírkoûvvoduuvebdodatkiprivikoristannídetermínovanihavtomatívízmagazinnoûpamâttû
AT sentilkumars viâvlennâtazapobígannâatakzperevírkoûvvoduuvebdodatkiprivikoristannídetermínovanihavtomatívízmagazinnoûpamâttû
AT nitʹâv detectionandavoidanceofinputvalidationattacksinwebapplicationusingdeterministicpushdownautomata
AT sentilkumars detectionandavoidanceofinputvalidationattacksinwebapplicationusingdeterministicpushdownautomata
first_indexed 2025-11-30T21:11:12Z
last_indexed 2025-11-30T21:11:12Z
_version_ 1850858517715484672

Ähnliche Einträge