Algorithms and software solutions for SQL injection vulnerability testing in web applications
Journal Title: Вісник Національного технічного університету «ХПІ». Серія: Системний аналiз, управління та iнформацiйнi технологiї - Year 2018, Vol 1298, Issue 22
Abstract
<span>Software security gains importance day by day and developers try to secure web applications as much as possible to protect confidentiality, integrity and availability that are described in the fundamental security model so-called CIA triad. SQL injection vulnerability which can violate the confidentiality and integrity principles of the CIA triad is reviewed, and SQL injection attack execution and protection techniques are explained. The common frameworks’ solutions against SQL injection vulnerability were compared, and this comparison shown the most used techniques in this domain. Error-based and time-based detection algorithms for SQL injection’s identification are developed to create a vulnerability scanner that can detect SQL attacks which cause vulnerability in web applications, and these algorithms are represented in form of UML-activity diagrams. In order to discover all possible links and forms to perform SQL injection vulnerability tests in the entire website, a web crawler is needed. Breadth-First Search (BFS) algorithm for developing the web crawler is proposed, and the appropriate pseudo code and activity diagram are provided. Besides, Common Vulnerability Scoring System (CVSS) that is used to measure severity score of attacks that can violate CIA triad principles is reviewed. Qualitative severity score rating scale of CVSS is explained. An example of CVSS calculation is represented. Necessary components of a vulnerability scanner are explained. A vulnerability scanner prototype is developed using explained algorithms. Process results of this vulnerability scanner’s usage for real web applications are represented. Conclusions are made, and goals of future work are defined.</span>
Authors and Affiliations
Arslan Berk, Rustam Gamzayev, Ertuğrul Karaçuha, Mykola Tkachuk
Keywords
Related Articles
- EP ID EP465203
- DOI 10.20998/2079-0023.2018.22.01
- Views 156
- Downloads 0
Підхід до виявлення аномальної поведінки процесів в системах процесного управління на основі аналізу логів
<span>В роботі запропоновано підхід до виявлення аномалій поведінки знання-ємних бізнес-процесів на основі порівняльного аналізу трас у складі журналів реєстрації подій. Підхід враховує темпоральному і об’єктний аспекти...
Комбинированная система автоматического управления с прогнозирующей моделью тепловым состоянием здания
<p class="204">Рассматривается актуальная задача структурного синтеза системы автоматического управления индивидуальным тепловым пунктом жилых, производственных и офисных зданий. На основе упрощенной математической модел...
КОМП’ЮТЕРНЕ МОДЕЛЮВАННЯ ПРОЦЕСІВ ДИФУЗІЇ У ПОХИЛИХ ПРОСТОРОВО-ПЕРІОДИЧНИХ ПОТЕНЦІАЛАХ
Нещодавно було показано, що в істотно нерівноважних системах коефіцієнт дифузії може вести себе немонотонно з температурою. Одним із прикладів таких систем з аномальною температурної залежністю є рух броунівських часток...
Геоінформаційна система ідентифікації кадрів при реконструюванні місцевості
<span>Запропоновано алгоритм ідентифікації кадрів зображення місцевості, отриманого в процесі аерофотозйомки. Машинне навчання геоінформаціної системи здійснювалося за інформаційно-екстремальним алгоритмом. Як критерій о...
ВЛИЯНИЕ НА ПУЛЬСИРУЮЩИЙ КРОВОТОК ЖИВОТНЫХ СОБСТВЕННЫХ И ВНЕШНИХ ЭЛЕКТРОМАГНИТНЫХ ПОЛЕЙ
Рассмотрена теоретическая модель кровотока в крупных кровеносных сосудах животных, которая учитывает воздействие электромагнитных полей на форменные элементы крови, как созданных самим кровотоком, так и существующих в ок...