IRChNUT
Електронний архів Національного університету "Чернігівська політехніка"
Research of methods of automated search of “SQL injection” type vulnerabilities in web applications
ISSN 2415-363X
JavaScript is disabled for your browser. Some features of this site may not work without it.
Показати скорочений опис матеріалу
| dc.contributor.author | Берлог, Є.
|
|
| dc.contributor.author | Роговенко, А. І.
|
|
| dc.contributor.author | Дивнич, Г. А.
|
|
| dc.date.accessioned | 2023-03-13T11:35:55Z | |
| dc.date.available | 2023-03-13T11:35:55Z | |
| dc.date.issued | 2022 | |
| dc.identifier.uri | http://ir.stu.cn.ua/123456789/26974 | |
| dc.description | Berloh, Ye. Research of methods of automated search of “SQL injection” type vulnerabilities in web applications / Ye. Berloh, А. Rohovenko, Н. Dyvnych, H. // Technical sciences and technologies. - 2022. - № 4 (30). - Р. 113-120. | uk_UA |
| dc.description.abstract | The article presents the results of a scientific and methodological study of the methods of automated search for SQL vulnerabilities in web applications. An example of an attack using a typical SQL injection is provided. The classification of web application security assessment methods based on penetration testing is given. The results of practical studies of the operation of the most widely used web scanners for automated vulnerability testing of web applications are given. Based on the results, a comparison of the effectiveness of penetration testing methods has been made. The possible directions of further research into the methods of automated search for SQL vulnerabilities in web applications are substantiated, taking into account the results obtained, in particular the values of the Youden Index. | uk_UA |
| dc.language.iso | en | uk_UA |
| dc.publisher | Чернігів : НУ "Чернігівська політехніка" | uk_UA |
| dc.relation.ispartofseries | Технічні науки та технології;№ 4 (30) | |
| dc.subject | SQL | uk_UA |
| dc.subject | SQL-ін’єкція | uk_UA |
| dc.subject | OWASP | uk_UA |
| dc.subject | SPA | uk_UA |
| dc.subject | WVS | uk_UA |
| dc.subject | Black Box | uk_UA |
| dc.subject | SQL injection | uk_UA |
| dc.title | Research of methods of automated search of “SQL injection” type vulnerabilities in web applications | uk_UA |
| dc.title.alternative | Дослідження методів автоматизованого пошуку вразливостей типу «sql injection» у вебдодатках | uk_UA |
| dc.type | Article | uk_UA |
| dc.description.abstractalt1 | У статті представлено результати науково-методичного дослідження методів автоматизованого пошуку SQL вразливостей у вебдодатках. Наведено приклад атаки з застосуванням типової SQL ін’єкції. Усі SQL ін’єкції будуються за подібною структурою, тобто результатом SQL ін’єкції, може бути несанкціонована зміна вмісту бази даних, або отримання доступу до інформації, яка за звичайних умов недоступна. Наведено класифікацію методів оцінки безпеки web-додатків на основі тестування на проникнення. Зокрема, при класифікації враховуються мова програмування, тип бази даних яка використовується в додатку та використані технології. Виділено три категорії тестів, та наведені відмінності між ними. Розглянуто підходи до тестування на проникнення такі як Black Box, White Box та Grey Box. Беручи до уваги необхідність автоматизації тестування та максимальної імітації хакерської атаки ззовні було обрано підхід Black Box підхід тестування. Розглянуто алгоритм роботи засобів пошуку вразливостей у web-додатках, зокрема веб-сканера (WVS). Також розглянуто особливості використання традиційних методів знаходження вразливостей у web-додатках беручи до уваги типову архітектуру WVS та беручи до уваги типову відмінність у роботі WVS при роботи з традиційними вебдодатками та SPA додатками. Наведено результати практичних досліджень роботи найуживаніших вебсканерів для автоматизованого тестування вразливості вебдодатків, зокрема досліджено сканери OWASP Zap, Arachni, Wapiti. Обчислено індекс Юдена, який дав змогу зробити висновок, що найбільша ефективність є у сканера Wapiti, тобто він виявив найбільшу кількість вразливостей. Але навіть цей сканер має коефіцієнт Юдена менш ніж 60 %, отже задача підвищення ефективності пошуку вразливостей типу “SQL ін’єкція” є дуже актуальним для подальшого дослідження. Додатково при дослідженні було визначено, що процес сканування на предмет вразливостей типу “SQL-ін’єкція” є складнішим для додатків типу SPA (Single Page Application), що також потребує рішення в якості окремого випадку задачі підвищення ефективності пошуку вразливостей web-додатків. | uk_UA |
