PEDAGOG RESPUBLIKA ILMIY JURNALI
6 –TOM 2 – SON / 2023 - YIL / 15 - FEVRAL
www.bestpublication.org
498
jiddiyligini farqlash uchun turli usullardagi kodlash va ko’p
formatli hisobotlarni
yaratishda keng foydalaniladi.
Watabo
veb ilovalarni tekshirish uchun ochiq manbali yarim avtomatik skanerdir.
Ushbu ruby-ga asoslangan skaner seans boshqaruviga ega, murakkab filtrlash va shaffof
proksi-server sifatida ishlash qobiliyatini o’z ichiga oladi.
Turli veb-zaiflik skanerlarining samaradorligi avvalroq baholangan. Biroq,
OWASP Benchmark asosidagi OWASP Zed Attack Proxy (ZAP) va Arachni ni o’zaro
solishtirish hali amalga oshirilmagan.OWASP benchmarkidan foydalangan holda,
ushbu tadqiqot ikkita ochiq manbali va platformalararo skanerlarning samaradorligini
taqqoslaydi. Bunda skanerlar yaratilishi funksiyalarga boyligidan qat’i nazar, barcha
turdagi testerlar va ishlab chiquvchilarga murojaat qiladi, chunki ulardan foydalanish
oson. Natijada, skanerlarning keng doirasi foydalanilishi va xavfsizroq onlayn ilovalar
ishlab chiqilishi imkoniyati paydo bo’ladi.
Veb ilovalar zaifliklarini aniqlashning testlash usullari va OWASP texnologiyasi
Hozirgi kunda veb ilovalarning zaifliklarini aniqlash
skanerlarida uchta asosiy
komponent mavjud. Crawling, fuzzing va scraping bunga misoldir. Dasturchilar va
ilovalarni sinovdan o’tkazuvchilar ixtiyorida dastur muammolarini ishga tushirishdan
oldin yoki keyin aniqlash uchun bir qator texnologiyalar mavjud. SIXT - Statik ilovalar
xavfsizligi testi (SAST- Static Application Security Testing), DIXT
- dinamik ilovalar
xavfsizligi testi (DAST- Dynamic Application Security Testing) va IIXT - interaktiv
ilovalar xavfsizligi testi (IAST- Interactive Application Security Testing) bunga misoldir
(IAST).
Statik ilovalar xavfsizligi testi (SIXT): faqat inson omili orqali amalga oshirilib
dasturning manba kodidagi xatolarni topish uchun kodni tahlil qilish vositasi
yordamida amalga oshirilishi mumkin bo’lgan kodga
asoslangan veb-ilova sinovidir,
buni ―Oq quti testi‖(―White box testing‖) deb ham atash mumkin.[6]. Biroq, manba
kodini tahlil qilish usuli bilan, ayniqsa murakkab dastur kodlari bilan barcha xavfsizlik
kamchiliklarini topish qiyin. Bundan tashqari, testlovchi tomonidan ilovaning ichki
tuzilishi, dizayni va texnologiyasini bilish ilovadagi kamchiliklarni topishga to’sqinlik
qilishi mumkin.
Dinamik ilovalar xavfsizligi testi (DIXT):
veb resursning tuzilishi, dizayni va
texnologiyasi haqida oldindan ma’lumotga ega bo’lmagan holda dastur zaifliklarini
topish jarayoni. Ushbu usul,
shuningdek, "Qora quti testi"(―Black box testing‖) va
Penetratsiya testi deb nomlanadi. Veb-so’rovlarni o’chirish, qirqish va skanerlash
maqsadli ilovalardagi zaifliklarni topish uchun ushbu usulda qo’llaniladigan ba’zi
usullardir [7].
Ularning xususiyatlarini hisobga oladigan bo’lsak, statik ilovalar xavfsizligi testi
va dinamik dastur xavfsizligi testi usullari ba’zi zaif va kuchli tomonlarga ega. SIXT
DIXTga nisbatan boshqacha yondashuvdan foydalanishi aniq bo’lsa-da, ikkala usul
ham bir-birini to’ldiradi.