ПОИСК ВХОДНЫХ ТОЧЕК ДЛЯ ВЕБ-ПРИЛОЖЕНИЙ С ДИНАМИЧЕСКИМ ПОЛЬЗОВАТЕЛЬСКИМ ИНТЕРФЕЙСОМ

Георгий Максимович Носеевич, Андрей Александрович Петухов

Аннотация


В работе рассматривается задача автоматического анализа веб-приложений с динамическим интерфейсом, построенным с помощью современных технологий (HTML5, javascript, AJAX и т. п.). В статье предлагается метод решения задачи, основанный на комбинации статического и динамического анализа javascript-кода. Исследование предложенного метода на таких веб-приложениях, как Twitter, Youtube и Reddit, подтвердило его практическую применимость.

Ключевые слова


веб-приложения; автоматизированный обход

Полный текст:

PDF

Литература


1 Sutton M., Greene A., Amini P. Fuzzing: brute force vulnerability discovery. Addison-Wesley Professional, 2007.

2 Noseevich G., Petukhov A. Detecting Insufficient Access Control in Web Applications // 1st SysSec Workshop Proceedings. Amsterdam, 2011. P. 11—18.

3 Resig J. jQuery: The write less, do more, javascript library. URL: http://jquery.org (дата обращения: 04.04.2013).

4 Garrett J. Ajax: A new approach to web applications. URL: http://www.adaptivepath.com/ideas/ajax-new-approach-web-applications (дата обращения: 04.04.2013).

5 Document Object Model (DOM) Level 3 Events Specification. URL: http://www.w3.org/TR/DOM-Level-3-Events/ (дата обращения: 04.04.2013).

6 Vogt P., Nentwich F., Jovanovic N., Kirda E., Kruegel C., Vigna G. Cross-site scripting prevention with dynamic data tainting and static analysis // Proceeding of the Network and Distributed System Security Symposium (NDSS), San Diego, 2007.

7 Cova M., Kruegel C., Vigna G. Detection and analysis of drive-by-download attacks and malicious JavaScript code // Proceedings of the 19th International Conference on World Wide Web, Raleigh, 2010.

8 Sites Using jQuery. URL: http://docs.jquery.com/Sites_Using_jQuery (дата обращения: 30.01.2013).


Ссылки

  • На текущий момент ссылки отсутствуют.


Лицензия Creative Commons
Это произведение доступно по лицензии Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная.