ارائه‌کننده: بهزاد عارف نیااستاد راهنما: دکتر مهدی آبادیاستاد ناظر داخلی اول: دکتر حسین هماییاستاد ناظر خارجی اول: دکتر حمیدرضا شهریاری (دانشگاه صنعتی امیرکبیر)تاریخ: ۱۴۰۴/۰۴/۲۸ساعت: ۱۱مکان: مجازی

چکیده:با رشد فزاینده‌ی برنامه‌های کاربردی وب، تامین امنیت این سامانه‌ها به یکی از چالش‌های حیاتی در چرخه‌ی توسعه‌ی نرم‌افزار تبدیل شده‌است. در این زمینه، اگرچه آزمون امنیتی جعبه‌سیاه جایگاه ویژه‌ای در فرآیند ارزیابی امنیتی یافته‌است، اما کاستی‌هایی از جمله نبود چارچوبی ساخت‌یافته برای طراحی برنامه‌ی آزمون، اتکای بیش از حد به تجربیات فرد آزمونگر و فقدان نظام یکپارچه‌ی مستندسازی تجربیات گذشته، کارایی این روش را تحت‌تأثیر قرار داده‌است. پژوهش حاضر با هدف پاسخ‌گویی به این کاستی‌ها، چارچوبی نظام‌مند با عنوان مِه‌آزما را پیشنهاد می‌دهد که رویکردی مبتنی‌بر دانش برای بهینه‌سازی فرآیند آزمون امنیتی جعبه‌سیاه برنامه‌های کاربردی وب ارائه می‌کند.چارچوب مِه‌آزما براساس مدل‌سازی مبتنی‌بر گراف عمل‌کرده و تعاملات کاربر با برنامه کاربردی وب را در قالب گراف رفتار برنامه کاربردی وب بازنمایی می‌کند. سپس با استفاده از پایگاه دانش امنیتی شامل الگوهای حمله که از حملات واقعی استخراج شده‌اند، اقدام به تطبیق و شناسایی تهدیدات بالقوه می‌کند. در مرحله‌ی بعد، برای هر تهدید شناسایی‌شده به‌طور خودکار برنامه‌ی آزمون امنیتیِ هدفمند، تولیدشده و هم‌زمان، مدل تهدید که شامل راهکارهای عملی و پیشنهادی برای مقابله با تهدید‌های شناسایی‌شده است نیز در اختیار کاربران چارچوب قرار می‌گیرداین چارچوب با سه مطالعه‌ی موردی شامل حملات بارگذاری فایل مخرب، سوءاستفاده از منطق پرداخت و حمله‌ی فریب حافظه پنهان وب ارزیابی شده‌است. نتایج ارزیابی نشان می‌دهد که مه‌آزما به‌صورت دقیق قادر به شناسایی و مدل‌سازی تهدیدات امنیتی بوده و ضمن ارائه‌ی برنامه‌های آزمون امنیتیِ مؤثر، راهکارهای متناسب مقابله‌ای را نیز ارائه می‌دهدبه‌طور کلی، چارچوب مِه‌آزما علاوه‌بر تسهیل و خودکارسازی فرایند طراحی برنامه آزمون امنیتی جعبه‌‌سیاه برنامه‌های کاربردی وب، قابلیت مدل‌سازی نظام‌مند تهدیدها و ارائه‌ی راهکارهای مقابله‌ با آن‌ها را نیز دارد و بستری را برای ذخیره و بازاستفاده‌ از دانش امنیتی به‌منظور افزایش اثربخشی آزمون‌های امنیتی فراهم می‌کند.