TECHNOLOGY OF VULNERABILITY TESTING TO SQL INJECTIONS
Keywords:
vulnerabilities to SQL injections, GERT-networks, security vulnerabilitiesAbstract
The paper presents research results and vulnerability testing algorithms for one of the most common types of attacks on Web applications-SQL injections. The approach of mathematical modeling on the basis of GERT-networks is chosen. A set of mathematical models for testing Web applications has been developed. The basis of mathematical modeling is the approach of GERT-network synthesis. As a result, mathematical models have been developed for testing vulnerability to SQL injections. The mathematical model of vulnerability testing technology for SQL injections differs from the known ones, an improved method for determining the distance between injection results.Downloads
References
About The Open Web Application Security Project – OWASP: [Електронний ресурс]. – Режим доступу: https://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project.
OWASP Top 10 – 2017 RC1: [Електронний ре-сурс]. – Режим доступу: https://github.com/OWASP/Top10/blob/master/2017/OWASP%20Top%2010%20-%202017%20RC1-English.pdf.
Positive Research 2016: [Електронний ресурс]. – Режим доступу: https://www.ptsecurity.com/upload/ptru/analytics/Positive-Research-2016-rus.pdf.
OSSTMM 3 – The Open Source Security Testing Methodology Manual. Contemporary Security Testing And Analysis: [Електронний ресурс]. – Режим доступу: http://www.isecom.org/mirror/OSSTMM.3.pdf.
Testing for DOM-based Cross-site scripting (OTG-CLIENT-001) – OWASP: [Електронний ресурс]. – Режим доступу: https://www.owasp.org/index.php/Testing_for_DOM-based_Cross_site_scripting_(OTG-CLIENT-001).
Testing for SQL Injection (OTG-INPVAL-005) – OWASP: [Електронний ресурс]. – Режим доступу: https://www.owasp.org/index.php/103Testing_for_SQL_Injection_(OTG-INPVAL-005).
Cohen W., Ravikumar P., Fienberg S. A Comparison of String Metrics for Matching Names and Records [Электронный ресурс] / William W. Cohen, Pradeep Raviku-mar, Stephen E. Fienberg. Режим доступа: https://www.cs.cmu.edu/afs/cs/Web/People/wcohen/postscript/kdd-2003-match-ws.pdf.
Kevin Dreßler a , Axel-Cyrille Ngonga Ngomo On the Efficient Execution of Bounded Jaro-Winkler Distances / Semantic Web – Interoperability, Usability, Applicability an IOS Press Journal Электронный ресурс http://www.semantic-web-journal.net/system/files/swj944.pdf
Pritsker A. A. В., Happ W. W. GERT: Graphical Evaluation and Review Technique. Part I. Fundamentals // The Journal of Industrial Engineering (May 1966).
Pritsker, A. A. В. Modeling and analysis using Q-GERT networks New York: Wiley : Distributed by Halsted Press, 1979.
Семенов С.Г. Gert-модель прогнозування пара-метрів функціональної безпеки технічних систем / С.Г.Семенов, Гавриленко С.Ю., Кассем Халіфе // Зб. науко-вих праць. Системи обробки інформації. – Х.: ХУ ПС, 2016. – Вип. 2(139) С.50-52.
Semenov S.G., Zmiyevskaya V N., Kassem Khalife Development of Gert model of management system by using test cases // Journal of Qafqaz university-mathematics and computer science 2016, Vol.(4), № 1. C. 52-59
Эдвардс Г. Последняя теорема Ферма. Генети-ческое введение в алгебраическую теорию чисел / Г. Эд-вардс. – М.: Мир, 1980. – 486 с.
Гмурман В.Е. Теория вероятностей и матема-тическая статистика / В.Е. Гмурман. – М.: Высшая шко-ла, 2003. – 479 с.
Коваленко А.В. Методы качественного анализа и количественной оценки рисков разработки программного обеспечения / А.А. Смирнов, А.В. Коваленко // Збірник нау-кових праць "Системи обробки інформації". – Випуск 5(142). – Х.: ХУПС – 2016. – С. 153-157.
Коваленко А.В. Проблемы анализа и оценки рис-ков информационной деятельности / А.А. Смирнов, А.В. Коваленко, Н.Н. Якименко, А.П. Доренский // Збірник нау-кових праць "Системи обробки інформації". – Випуск 3(140). – Х.: ХУПС – 2016. – С. 40-42.
Коваленко А.В. Метод качественного анализа рисков разработки программного обеспечения / А.А. Сми-рнов, А.В. Коваленко, Н.Н. Якименко, А.П. Доренский // Наука і техніка Повітряних Сил Збройних Сил України. – Випуск 2(23). – Харків: ХУПС. – 2016. – С. 150-158.
Коваленко А.В. Алгоритм анализа уязвимости SQL Injection для управления рисками разработки программного обеспечения / А.А. Смирнов, А.В. Коваленко, А.С. Коваленко // Збірник тез другої міжнародної науково-технічної конференції «Проблеми науко-во-технічного та правового забезпечення кібер-безпеки у сучасному світі» (ПНПЗК-2017). м. Харків.10-12 квітня 2017 р. – Харків: НТУ «ХПІ». – 2017. – С. 27.
Коваленко А.В. Метод управления рисками разработки программного обеспечения на основе алгоритмов анализа уязвимостей / А.А. Смирнов, А.В. Коваленко, А.С. Коваленко // Збірник тез Міжнародної нау-ково-практичної конференції «Інформаційна безпека та комп'ютерні технології» (IS&CT). м. Кіровоград. 20-22 квітня 2017 р. – Кіровоград: КНТУ. – 2017. – С. 92.
Коваленко А.В. Алгоритмы анализа DOM XSS уязвимости и уязвимости SQL Injection при управлении рисками разработки программного обеспечения / А.А. Смирнов, А.В. Коваленко, А.С. Коваленко // Збірник тез IX міжнародної науково-практичної конференції “Проблеми і перспективи розвитку ІТ-індустрії”. м. Харків. 20-21 квітня 2017 р. – Харків: ХНЕУ. – 2017. – С. 61.
