Record Details

Security testing technology based on the provisions of the simulation models scaling theory

Наукові журнали Національного Авіаційного Університету

View Archive Info
 
 
Field Value
 
Title Security testing technology based on the provisions of the simulation models scaling theory
Технология тестирования безопасности на основе положений теории масштабирования имитационных моделей
Імітаційна модель технології тестування безпеки на основі положень теорії масштабування
 
Creator Коваленко, Олександр Володимирович; Центральноукраїнський національний технічний університет, Україна
 
Subject Information security
security testing; scaling; simulation model; software development; security vulnerabilities
УДК 004.41:004.056 (045)
Информационная безопасность
тестирование безопасности; масштабирование; имитационная модель; разработка программного обеспечения; уязвимости безопасности
УДК 004.41:004.056 (045)
Інформаційна безпека
тестування безпеки; масштабування; імітаційна модель; розробка програмного забезпечення; уразливості безпеки
УДК 004.41:004.056 (043)
 
Description The simulation model of web- application security testing technologies is improved in the work. The basis of the development is the basic provisions of the theory of scaling imitation models in the framework of algorithmic simplification based on the evaluation of transitive dependence on management and data. A distinctive feature of the developed simulation model is the adaptation of the choice of input control-flow statements and data to an increase in the requirements for the speed of development and implementation of the model, which resulted in the implementation of the procedure for interacting with a real browser using browser automation tools and generating attack data in several dialects. In order to reduce the time spent on simulation modeling, it was decided to conduct scaling by replacing the information exchange procedures with the server using an HTTP client with the procedures of interacting with a real browser using browser automation tools. In addition to the main purpose of scaling, this replacement will increase the reliability of the result of testing the attack with the injection of JavaScript code. In this case, the Selenium Webdriver library was chosen as a mean of browser automation. One of the difficulties of testing vulnerability to SQL injections is a large number of SQL dialects depending on the database management system used. This fact forces the generation of data for an attack in several dialects to maximize coverage of attack vectors. On the one hand, this increases the amount of input data of the simulation model, increases the complexity of the project and negatively affects the overall time characteristics of implementation and testing of the vulnerability. On the other hand, using the proposed scaling approach, the complexity of the project can be significantly reduced without degrading the qualitative characteristics. The proposed approach of algorithmic simplification of simulation modeling is based on advanced procedures for estimating transitive control and data dependencies. The admissibility and expediency of using the estimation of the transitive dependency has been determined, which will reduce the computational complexity of the implemented algorithms in comparison with the algorithms for estimating the direct dependency up to 1,5 times.
В работе усовершенствована имитационная модель технологий тестирования безопасности Web-приложений. В основу разработки положены основные положения теории масштабирования имитационных моделей в рамках алгоритмического упрощения на основе оценки транзитивной зависимости по управлению и данным. Отличительной особенностью разработанной имитационной модели является адаптация выбора входных операторов управления и данных к повышению требований оперативности разработки и реализации модели, выраженная в реализации процедуры взаимодействия с реальным браузером с использованием средств автоматизации браузера и формировании данных для атаки на нескольких диалектах. В имитационной модели технологии тестирования уязвимостей предлагается не только простое абстрагирование от несущественного оператора, но и его замена на более эффективный, с точки зрения точности конечных результатов проверки, оператор. Для снижения затрат времени на имитационное моделирование было решено провести масштабирование путем замены процедур информационного обмена с сервером с помощью HTTP клиента на процедуры взаимодействия с реальным браузером с использованием средств автоматизации браузера. Помимо основной цели масштабирования эта замена позволит повысить достоверность результата тестирования атаки с инъекцией JavaScript кода. При этом в качестве средства автоматизации браузера было выбрано библиотеку Selenium Webdriver. Одной из сложностей тестирования уязвимости к SQL инъекций является большое количество диалектов SQL в зависимости от используемой системы управления базами данных. Этот факт заставляет формировать данные для атаки на нескольких диалектах для максимального покрытия векторов атаки. С одной стороны это увеличивает количество входных данных имитационной модели, повышает сложность проекта и негативно влияет на общие временные характеристики реализации и проведения тестирования уязвимости. С другой стороны, используя предложенный подход масштабирования можно существенно снизить сложность проекта, не ухудшая качественных характеристик. В основу предлагаемого подхода алгоритмического упрощения имитационного моделирования проложены усовершенствованные процедуры оценки транзитивной зависимости по управлению и данным. Определены допустимость и целесообразность использования оценки транзитивной зависимости, снизит вычислительную сложность реализуемых алгоритмов по сравнению с алгоритмами оценки прямой зависимости до 1,5 раз.
У роботі вдосконалена імітаційна модель технологій тестування безпеки Web-додатків. В основу розробки покладено основні положення теорії масштабування імітаційних моделей в рамках алгоритмічного спрощення на основі оцінки транзитивної залежності по управлінню і даним. Відмінною особливістю розробленої імітаційної моделі є адаптація вибору вхідних операторів управління і даних до підвищення вимог оперативності розробки та реалізації моделі, виражена в реалізації процедури взаємодії з реальним браузером з використанням засобів автоматизації браузера і формуванні даних для атаки на декількох діалектах. В імітаційній моделі технології тестування вразливостей пропонується не тільки просте абстрагування від несуттєвого оператора, а і його заміна на більш ефективний, з точки зору точності кінцевих результатів перевірки, оператор. Для зниження витрат часу на імітаційне моделювання було вирішено провести масштабування шляхом заміни процедур інформаційного обміну з сервером за допомогою HTTP клієнта на процедури взаємодії з реальним браузером з використанням засобів автоматизації браузера. Крім основної мети масштабування ця заміна дозволить підвищити достовірність результату тестування атаки з ін’єкцією JavaScript коду. При цьому як засіб автоматизації браузера було вибрано бібліотеку Selenium Webdriver. Однією зі складностей тестування уразливості до SQL ін’єкцій є велика кількість діалектів SQL в залежності від використовуваної системи управління базами даних. Цей факт змушує формувати дані для атаки на декількох діалектах для максимального покриття векторів атаки. З одного боку це збільшує кількість вхідних даних імітаційної моделі, підвищує складність проекту і негативно впливає на загальні часові характеристики реалізації та проведення тестування уразливості. З іншого боку, використовуючи запропонований підхід масштабування можна істотно знизити складність проекту, не погіршуючи якісних характеристик. В основу запропонованого підходу алгоритмічного спрощення імітаційного моделювання прокладені вдосконалені процедури оцінки транзитивної залежності по управлінню і даним. Визначено допустимість і доцільність використання оцінки транзитивної залежності, що знизить обчислювальну складність реалізованих алгоритмів у порівнянні з алгоритмами оцінки прямої залежності до 1,5 раз.
 
Publisher National Aviation University
 
Contributor


 
Date 2018-10-11
 
Type


 
Format application/pdf
application/pdf
 
Identifier http://jrnl.nau.edu.ua/index.php/Infosecurity/article/view/13045
10.18372/2225-5036.24.13045
 
Source Безпека інформації; Том 24, № 2 (2018); 110-117
Безопасность информации; Том 24, № 2 (2018); 110-117
Ukrainian Scientific Journal of Information Security; Том 24, № 2 (2018); 110-117
 
Language en
 

Технічна підтримка: НДІІТТ НАУ