• PEDAGOG RESPUBLIKA ILMIY JURNALI 6 –TOM 2 – SON / 2023 - YIL / 15 - FEVRAL www.bestpublication.org
    		•

    Web Application Attack and Audit Framework(W3af




    Download 0,74 Mb.
    Pdf ko'rish
    bet3/6
    Sana21.05.2024
    Hajmi0,74 Mb.
    #248303
    1   2   3   4   5   6
    Bog'liq
    Radjabova Madina Shavkatovna

    Web Application Attack and Audit Framework(W3af
    veb ilovalardagi zaifliklarni 
    aniqlashga yordam beradigan bepul ochiq kodli skaner. Python-ga asoslangan ushbu 
    skaner buyruq qatori interfeysi bilan bir qatorda Grafik foydalanuvchi interfeysini ham 
    taklif etadi. W3af arxitekturasi plagin(veb ilovalarni tezkor ravishda sifatli qurilishida 
    yordam beruvchi dastur kutubxona)larni va asosiy ishchi qismni o’z ichiga olgan ikki 
    qismga bo’linadi. Asosiy qismi ma’lumot almashish uchun ma’lumotlar bazasidan 
    foydalangan holda ulardagi zaifliklarni aniqlash uchun plaginlar tomonidan 
    qo’llaniladigan xususiyatlarni taqdim etadi. Ushbu plaginlar Audit, Grep, Discovery, 
    hujum Mangle, Brute force va Output[21, 20] ga bo’linadi. 
    Wapiti
    bepul ochiq kodli veb-ilovaning zaiflik skaneri, u o’zi bilan komandalar 
    interface yordamida ish ko’ra oladigan skaner hissoblanadi. U veb ilovalarini barcha 
    sahifalari bo’ylab zaifliklarini qidiradi va skript zaif ekanligini aniqlash uchun foydali 
    yuklamalarni saytga kiritish uchun ishlatilishi mumkin bo’lgan shakllar va skriptlarni 
    qidiradi va saytga yuklab ko’radi[18]. Wapiti-ning umumiy xususiyatlari orasida 
    skanerlash jarayoniga taluqli matn faylidagi oddiy qator, topilgan zaifliklarning 

    PEDAGOG RESPUBLIKA ILMIY JURNALI 
    6 –TOM 2 – SON / 2023 - YIL / 15 - FEVRAL 
    www.bestpublication.org
    498 
    jiddiyligini farqlash uchun turli usullardagi kodlash va ko’p formatli hisobotlarni 
    yaratishda keng foydalaniladi. 
    Watabo
    veb ilovalarni tekshirish uchun ochiq manbali yarim avtomatik skanerdir. 
    Ushbu ruby-ga asoslangan skaner seans boshqaruviga ega, murakkab filtrlash va shaffof 
    proksi-server sifatida ishlash qobiliyatini o’z ichiga oladi. 
    Turli veb-zaiflik skanerlarining samaradorligi avvalroq baholangan. Biroq, 
    OWASP Benchmark asosidagi OWASP Zed Attack Proxy (ZAP) va Arachni ni o’zaro 
    solishtirish hali amalga oshirilmagan.OWASP benchmarkidan foydalangan holda, 
    ushbu tadqiqot ikkita ochiq manbali va platformalararo skanerlarning samaradorligini 
    taqqoslaydi. Bunda skanerlar yaratilishi funksiyalarga boyligidan qat’i nazar, barcha 
    turdagi testerlar va ishlab chiquvchilarga murojaat qiladi, chunki ulardan foydalanish 
    oson. Natijada, skanerlarning keng doirasi foydalanilishi va xavfsizroq onlayn ilovalar 
    ishlab chiqilishi imkoniyati paydo bo’ladi. 
    Veb ilovalar zaifliklarini aniqlashning testlash usullari va OWASP texnologiyasi
     
    Hozirgi kunda veb ilovalarning zaifliklarini aniqlash skanerlarida uchta asosiy 
    komponent mavjud. Crawling, fuzzing va scraping bunga misoldir. Dasturchilar va 
    ilovalarni sinovdan o’tkazuvchilar ixtiyorida dastur muammolarini ishga tushirishdan 
    oldin yoki keyin aniqlash uchun bir qator texnologiyalar mavjud. SIXT - Statik ilovalar 
    xavfsizligi testi (SAST- Static Application Security Testing), DIXT - dinamik ilovalar 
    xavfsizligi testi (DAST- Dynamic Application Security Testing) va IIXT - interaktiv 
    ilovalar xavfsizligi testi (IAST- Interactive Application Security Testing) bunga misoldir 
    (IAST). 
    Statik ilovalar xavfsizligi testi (SIXT): faqat inson omili orqali amalga oshirilib 
    dasturning manba kodidagi xatolarni topish uchun kodni tahlil qilish vositasi 
    yordamida amalga oshirilishi mumkin bo’lgan kodga asoslangan veb-ilova sinovidir, 
    buni ―Oq quti testi‖(―White box testing‖) deb ham atash mumkin.[6]. Biroq, manba 
    kodini tahlil qilish usuli bilan, ayniqsa murakkab dastur kodlari bilan barcha xavfsizlik 
    kamchiliklarini topish qiyin. Bundan tashqari, testlovchi tomonidan ilovaning ichki 
    tuzilishi, dizayni va texnologiyasini bilish ilovadagi kamchiliklarni topishga to’sqinlik 
    qilishi mumkin. 
    Dinamik ilovalar xavfsizligi testi (DIXT): veb resursning tuzilishi, dizayni va 
    texnologiyasi haqida oldindan ma’lumotga ega bo’lmagan holda dastur zaifliklarini 
    topish jarayoni. Ushbu usul, shuningdek, "Qora quti testi"(―Black box testing‖) va 
    Penetratsiya testi deb nomlanadi. Veb-so’rovlarni o’chirish, qirqish va skanerlash 
    maqsadli ilovalardagi zaifliklarni topish uchun ushbu usulda qo’llaniladigan ba’zi 
    usullardir [7]. 
    Ularning xususiyatlarini hisobga oladigan bo’lsak, statik ilovalar xavfsizligi testi 
    va dinamik dastur xavfsizligi testi usullari ba’zi zaif va kuchli tomonlarga ega. SIXT
    DIXTga nisbatan boshqacha yondashuvdan foydalanishi aniq bo’lsa-da, ikkala usul 
    ham bir-birini to’ldiradi. 


    Download 0,74 Mb.
    1   2   3   4   5   6




    Download 0,74 Mb.
    Pdf ko'rish
    Bosh sahifa
    Aloqalar
        Bosh sahifa
    Dərs
    Mühazirə
    Qaydalar
    Referat
    Xülasə
    Yazı


    Web Application Attack and Audit Framework(W3af

    Download 0,74 Mb.
    Pdf ko'rish