کشف آسیب‌پذیری‌های جدید در وب به کمک جستجوگر جدید MIT در کم‌تر از یک دقیقه

یکی از دانشجویان سابق دانشگاه MIT که اکنون محقق فوق دکترای برکلی است، یک جستجوگر امنیتی برنامه وب جدید طراحی کرده است که به طراحانی کمک می‌کند که تمایل دارند اشکالاتی به جز ۱۰ اشکال برتر OWASP را از بین ببرند.
این ابزار تحلیل‌گر ایستا Space نام دارد و در کنفرانس بین المللی مهندسی نرم افزار (ICSE) که در راه است، به صورت کامل خواهد شد. از Space همراه با دو ابزار امنیتی برنامه وب که ساخته دانشگاه MIT هستند، استفاده خواهد شد. این دو ابزار Alloy (زبانی که ساختارهای برنامه ریزی را توصیف می‌کند) و Drailer (ابزاری که تعداد اطلاعاتی برنامه‌ای که ممکن است در خطر باشند را برمی‌شمرد) هستند که با Space می‌توانند اشکالات بیشتری را در برنامه‌های وب شکار کنند.
طراحی این برنامه جوزف پی نیر که تحت نظر دنیل جکسون ، استاد آزمایشگاه هوش مصنوعی و علوم کامپیوتر MIT کار کرده است، این جستجوگر را علیه ۵۰ نرم‌افزار محبوبِ متن‌باز، مبتنی بر Ruby On Rails در مخزن Github هستند، راه اندازی کرده است. این جستجوها ۲۳ آسیب‌پذیری و خطای جدید را پیدا کردند که به طراح مربوطه‌شان گزارش داده شوند؛ MIT گفت حداکثر زمان هر جستجو، ۴۶ ثانیه بوده است. جکسون گفت: «نقص‌های قدیمی که پیدا کردیم اساساً سازوکار کافی برای محافظت از دسترسی خواندن- نوشتن به منابع حیاتی ندارند».
او گفت: «ما از ابتدا به کار بر روی حفره‌های مخصوص برنامه علاقه‌مند بودیم. پیشرفت‌های بسیاری در زمینه آسیب‌پذیری‌ها و خطاهای کلی مثل تزریق SQL و تزریق اسکریپت از طریق وب‌گاه (XSS) دیدم که چیزهایی مثل فهرست سیاه، فهرست سفید و اصولی کردن می‌توانند مراقب آن‌ها باشند و ما هم بهتر دیدیم که خطاهای مخصوص برنامه کاربردی را بررسی کنیم».
جکسون گفت که طراحان برنامه وب هنگام رو‌به‌رو شدن با برنامه‌های امن، فرضیه‌هایی در مورد متن می‌سازند و از روش‌هایی استفاده می‌کنند.
بدون اینکه بررسی شود که آیا این فرضیه‌ها درست هستند یا خیر، آسیب‌پذیری‌هایی ایجاد می‌شود که می‌توانند دسترسی به خواندن- نوشتن ناخواسته‌ای را فعال کنند. Space یک فهرست از الگوهای رایج و شناخته شده را برای جستجو آماده می‌کند. Space کد را مستقل از متن بررسی می‌کند و شرایطی را به دست می‌آورد که تعیین می‌کند آیا باید به این دسترسی اجازه داده شود یا خیر.
MIT گفت Space بخشی از پایان‌ نامه‌ی دکترای پی نیر است. در ساخت Space او هفت راهی را شناسایی کرد برنامه ‌های وب از طریق آن‌ها دسترسی به اطلاعاتی مانند دسترسی عمومی به اطلاعات یا دسترسی مدیریتی را کنترل می‌کنند. MIT گفت که برای هر الگوی دسترسی، این پژوهش‌گر مدلی ساخته است که سطح دسترسی کاربران را مشخص می‌کند. سپس Space بررسی می‌کند که آیا برنامه با روش مطابقت دارد یا خیر و اگر نداشت آن را به عنوان مستعد مخرب شدن علامت گذاری می‌کند.
Space هنوز یک نمونه اولیه است و جکسون گفت که طراحان می‌توانند آن را بدون توقف راه اندازی کنند یا اینکه روزی به عنوان بخشی از یک جستجوگر بزرگتر به کار رود.
او گفت: «Space بسیار نوید بخش است و توانایی‌های بسیاری دارد و می‌تواند راهی را به سمت امنیت بیشتر باز کند».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]