چارچوب ارزیابی امنیت خودکار برنامههای کاربردی مبتنی بر وب
نویسنده
رضاییصالح، راضیه
استاد راهنما
کاهانی، محسن
مقطع تحصیلی
کارشناسیارشد
سال دفاع از پایان نامه
۱۳۸۸
رشته
کامپیوتر
توصیفگر
استاندارد OWASP
توصیفگر
آزمون خودکار
توصیفگر
برنامه های کاربردی وب
توصیفگر
استاندارد ASVS
توصیفگر
سیستم CVSS
توصیفگر
سیستم مشترک نمره گذاری آسیب پذیری ها
توصیفگر
روش تخمین ریسک (OWASP)
چکیده فارسی
امروزه اطمینان از امنیت برنامههای کاربردی مبتنی بر وب مسألهای اساسی برای تولیدکنندگان و همچنین مشتریان این برنامهها است. سازمانهای زیادی وجود دارند که برنامههای مبتنی بر وب را مورد ارزیابی امنیتی قرار داده و در صورت ایمن بودن به آنها گواهینامهی امنیتی میدهند. در این پایاننامه چارچوبی ارائه شده است که تنها به تأیید ایمن بودن برنامه بسنده نمیکند، بلکه میزان ایمن بودن برنامه را با انتساب نمرهی امنیتی بین 0 تا 100 به آن مشخص میکند. چارچوب ارائه شده به طور خودکار برنامهی تحت ارزیابی را مورد آزمون و بررسی امنیتی قرار میدهد.OWASP استانداردی برای تأیید امنیتی برنامههای کاربردی مبتنی بروب (ASVS) ارائه نموده است، که در این پایاننامه از ASVS به عنوان پایهی انجام بررسی و تأییدات امنیتی استفاده شده است. در این چارچوب با استفاده از پویشگرها، برنامهی مبتنی بر وب به طور خودکار پویش میشود تا تأییدات امنیتی مشخص شده در ASVS انجام گردد. در صورتی که هر یک از تأییدات امنیتی با موفقیت انجام نشود، مقداری از نمرهی نهایی امنیتی برنامه کسر میشود. اهمیت تمامی تأییدات امنیتی که باید انجام شود یکسان نیست و در صورت عدم انجام آنها میزان تهدیدات امنیتی که متوجه برنامه میشود به یک اندازه نمیباشد. برای مشخص نمودن وزن هر یک از تأییدات امنیتی در تعیین نمرهی نهایی، معیارهایی جهت تعیین وزن هر یک از آنها بر اساس معیارهای CVSS ارائه شده است. با اندازهگیری این معیارها میزان اهمیت هر یک از تأییدات و وزن آنها را در تعیین نمرهی نهایی مشخص میشود. بر اساس تأییدات امنیتی انجام شده و وزن هر یک، سطح امنیت برنامهی تحت ارزیابی با نمرهی انتساب داده شده به آن مشخص میگردد.