МОДЕЛЬ АНАЛІЗУ ВЕБЕКСПЛОЙТІВ НА ОСНОВІ JAVASCRIPT

Сергій Бучик; Андрій Куроєдов

doi:10.17721/ISTS.2024.8.17-25

Автор(и)

Сергій Бучик Київський національний університет імені Тараса Шевченка Автор https://orcid.org/0000-0003-0892-3494
Андрій Куроєдов Київський національний університет імені Тараса Шевченка Автор https://orcid.org/0009-0007-5811-4798

DOI:

https://doi.org/10.17721/ISTS.2024.8.17-25

Ключові слова:

вразливість, вебсайт, вебдодаток, вебексплуатація, аналіз вебдодатків, пошук вразливостей, SQL, XSS, CSRF

Анотація

В с т у п . Задача забезпечення безпеки вебдодатків і серверів залишається актуальною в умовах постійного зростання кількості атак у кіберпросторі. Використання різних систем керування вмістом із відкритим кодом (наприклад WordPress, Joomla, Open Journal Systems, Drupal), які через свою простоту в установленні та використанні, є доволі популярними для створення вебсайтів, на жаль вимагають постійного оновлення не тільки для покращення за змістом, але і для забезпечення безпеки системи. Автори статті зосередили увагу саме на системі WordPress, хоча цей підхід може бути використаний і для інших систем. Матеріал статті підкреслює значення раннього виявлення вразливостей для запобігання потенційним кіберзагрозам та їх негативним наслідкам. Запропоновано модель і скрипт, які призначені для прискорення виявлення вразливостей у додатках WordPress. Автоматизація процесу сканування за допомогою власного скрипту дозволяє швидко виявляти вразливості, забезпечуючи оперативне виправлення й оновлення. Такий підхід не лише зміцнює безпеку, але і сприяє збереженню репутації вебсайтів та брендів, що є критично важливим у сучасному цифровому середовищі.

М е т о д и . Використано методи аналізу вебексплойтів на основі JavaScript з урахуванням загальних принципів їх аналізу та з огляду на методології аналізу вебдодатків на вразливості.

Р е з у л ь т а т и . Представлено вдосконалену модель аналізу вебдодатка на CMS WordPress, в основі якої є скрипт, який забезпечує автоматизоване сканування вебдодатка за допомогою запуску таких утиліт: NMAP, Dirb, Nikto, SQLMap, WPScan і PwnXSS. Усі результати записують в окремий файл для подальшого вивчення всіх знайдених проблем безпеки вебдодатка.

В и с н о в к и . Розроблена модель і скрипт повинні допомогти розробникам і тестувальникам прискорити процес виявлення вразливостей у WordPress, оскільки вони можуть запустити один скрипт і через короткий термін часу отримати об'ємний і змістовний звіт із виявленими вразливостями. За рахунок цього оптимізується виявлення вразливостей за допомогою автоматизованого запуску сканерів.

Завантажити

Дані для завантаження поки недоступні.

Посилання

Hoffman, A. (2024). Web Application Security. O'Reilly Media (2nd Ed.). Liang, Y. (2014). JavaScript Security. PACKT Publishing.

Noman, M., Iqbal, M., & Manzoor, A. (2020). A Survey on Detection and Prevention of Web Vulnerabilities. International Journal of Advanced Computer Science and Applications (IJACSA), 11(6). http://dx.doi.org/10.14569/IJACSA.2020.0110665

Rokia, A., & El Habib, N. (2022). Deep Learning for Vulnerability and Attack Detection on Web Applications: A Systematic Literature Review. Future Internet, 14(4). https://doi.org/10.3390/fi14040118

Stuttard, D., & Marcus Pinto, M. (2008). The Web Application Hacker's Handbook. Wiley Publishing.