Une NOUVelle APPROCHE DE GENERATIOn DE CAS De test POUR LA DETECTION DE VULNERABILITE SQLI
Loading...
Date
2020
Journal Title
Journal ISSN
Volume Title
Publisher
Faculté des Mathématiques et d’Informatique Département d’Informatique - Spécialité : réseaux et technologies de l'information et de la communication
Abstract
L'utilisation des applications Web s'est rapidement développée en raison du changement de
mode de vie dans les affaires, les activités quotidiennes et la vie sociale. Le commerce
électronique, la banque électronique, les livres électroniques, les applications sociales et bien
plus encore font partie des exemples d'applications Web. Cependant, dans le même temps, le
nombre de vulnérabilités de sécurité présentes dans l'application Web a également augmenté.
L'injection SQL fait partie des vulnérabilités les plus dangereuses des applications Web qui
permettent aux attaquants de contourner l'authentification et d'accéder à la base de données de
l'application. Les tests de sécurité sont une méthode requise pour détecter une vulnérabilité
dans une entrée SQL dans une application Web. Cependant, une introduction insuffisante du
test pendant le test peut affecter l'efficacité du test de sécurité. Par conséquent, afin de
résoudre le problème de la détection des vulnérabilités d'injection SQL par les scanners, nous
avons proposé une nouvelle approche implémentée dans notre scanner SQLIVG, qui consiste
à créer des cas de test pour améliorer l'efficacité de la détection de ces vulnérabilités, et nous
visons à réduire l'intervalle d'analyse et maximiser la détection des vulnérabilités SQLI avec
le plus faible degré de complexité. Pour atteindre ces objectifs, nous proposons une nouvelle
méthode de création de requêtes SQLI, basée sur la découverte du filtrage des caractères
délimiteurs de chaînes pour éviter de générer des requêtes SQL inutiles. La génération
d'entrées de test est formulée par l'application du produit cartésien dans le concept de théorie
des groupes pour détecter une déficience d'injection SQL.
Description
Keywords
Génération d'entrées de test, vulnérabilité d'injection SQL, tests de sécurité.