Algorithms and software solutions for SQL injection vulnerability testing in web applications

Abstract

<span>Software security gains importance day by day and developers try to secure web applications as much as possible to protect confidentiality, integrity and availability that are described in the fundamental security model so-called CIA triad. SQL injection vulnerability which can violate the confidentiality and integrity principles of the CIA triad is reviewed, and SQL injection attack execution and protection techniques are explained. The common frameworks’ solutions against SQL injection vulnerability were compared, and this comparison shown the most used techniques in this domain. Error-based and time-based detection algorithms for SQL injection’s identification are developed to create a vulnerability scanner that can detect SQL attacks which cause vulnerability in web applications, and these algorithms are represented in form of UML-activity diagrams. In order to discover all possible links and forms to perform SQL injection vulnerability tests in the entire website, a web crawler is needed. Breadth-First Search (BFS) algorithm for developing the web crawler is proposed, and the appropriate pseudo code and activity diagram are provided. Besides, Common Vulnerability Scoring System (CVSS) that is used to measure severity score of attacks that can violate CIA triad principles is reviewed. Qualitative severity score rating scale of CVSS is explained. An example of CVSS calculation is represented. Necessary components of a vulnerability scanner are explained. A vulnerability scanner prototype is developed using explained algorithms. Process results of this vulnerability scanner’s usage for real web applications are represented. Conclusions are made, and goals of future work are defined.</span>

Authors and Affiliations

Arslan Berk, Rustam Gamzayev, Ertuğrul Karaçuha, Mykola Tkachuk

Keywords

Related Articles

Дескрипторный подход к синтезу децентрализованного гарантирующего управления запасами в сетях поставок с неопределенными запаздываниями

<p class="204">Предлагается подход к решению задачи синтеза гарантирующего управления запасами в сетях поставок с неопределенными транспортными запаздываниями в условиях действия «неизвестного, но ограниченного» спроса....

Adaptive training system for IT-companies personnel: design principals, architectural models and implementation technology

<p class="304"><span lang="EN-US">Investigated problems and not resolved issues related to corporate training for IT-companies personnel, explored the actuality and goal of creating adaptive training and learning systems...

Case Study: Розробка концепції корпоративного web-порталу банку "Credit Agricole"

<span>Розглядаються підходи до розробки концепції корпоративного веб порталу міжнародного банку. Будь-якій компанії (підприємству) необхідний інформаційний супровід своїх бізнес-процесів, а також інформаційна взаємодія у...

USING THE AGGREGATED CRITERIA TO EVALUATE THE SOFTWARE TESTS QUALITY

<p class="304Annotationeng">An approach to evaluating the software tests quality using aggregated quality criteria is proposed. The article considers the finding of such characteristics of software tests that can be used...

ОПТИМІЗАЦІЯ ІЄРАРХІЧНОЇ СТРУКТУРИ ДАНИХ ІНТЕЛЕКТУАЛЬНОЇ СИСТЕМИ ФУНКЦІОНАЛЬНОГО ДІАГНОСТУВАННЯ ТЕХНІЧНОГО СТАНУ СКЛАДНОЇ МАШИНИ

Розглядається метод інформаційно-екстремального машинного навчання системи функціонального діагностування технічного стану складної машини з оптимізацією ієрархічної структури вхідних даних. Показано, що на функціональну...

Download PDF file
  • EP ID EP465203
  • DOI 10.20998/2079-0023.2018.22.01
  • Views 133
  • Downloads 0

How To Cite

Arslan Berk, Rustam Gamzayev, Ertuğrul Karaçuha, Mykola Tkachuk (2018). Algorithms and software solutions for SQL injection vulnerability testing in web applications. Вісник Національного технічного університету «ХПІ». Серія: Системний аналiз, управління та iнформацiйнi технологiї, 1298(22), 3-10. https://europub.co.uk/articles/-A-465203