Н.В. Шишкин1, А.А. Каменский2

1, 2 Федеральное государственное бюджетное образовательное учреждение высшего образования
«МИРЭА – Российский технологический университет» (Москва, Россия)
1 shishkin_nv@mail.ru, 2 kamenskijaleksej@gmail.com

Постановка проблемы. С ростом числа пользователей сети интернет растет и объем возможных утечек конфиденциальной информации вследствие кибератак на веб-приложения. В связи с этим актуальной проблемой остается разработка более совершенных методов превентивной защиты от данного рода угроз.

Цель. Разработать обобщенное представление системы автоматизированного тестирования веб-сайтов на наличие уязвимостей SQL-инъекция.

Результаты. Проведен сравнительный анализ методов обнаружения SQL-инъекций и выявлены их недостатки. В обобщенной форме представлены возможные действия злоумышленника, а также выявлены и систематизированы информативные признаки атак. Предложен подход к формализации модели системы тестирования, который основывается на обобщенном представлении веб-приложения.

Практическая значимость. Результаты исследования могут быть использованы при разработке алгоритмов тестирования SQL-инъекций, учитывающих различные типы инъекций, механизмы валидации и особенности веб-приложений. На основе предложенной в исследовании модели возможно построение эффективных стратегий тестирования, позволяющей оптимизировать соотношение между полнотой покрытия уязвимостей и вычислительной сложностью процесса тестирования.

Шишкин Н.В., Каменский А.А. Подходы к разработке модели системы тестирования веб-сайтов на наличие уязвимостей типа «инъекция вредоносного кода» // Динамика сложных систем. 2025. Т. 19. № 4. С. 44−51. DOI: 10.18127/j19997493-202504-05

1. Путято М.М., Макарян А.С., Лещенко В.В., Немчинова В.О. Анализ типовых уязвимостей при построении веб-приложений / А.В. Сидоров // Вестник информационной безопасности. 2020. № 3. С. 45–52.
2. Алекперов З.А. Анализ угроз безопасности веб-приложений / И.Н. Петров, С.А. Иванов // Аллея науки. 2019. Т. 2. № 5.
   С. 123–130.
3. Open Web Application Security Project (OWASP). Официальный сайт OWASP. URL: https://owasp.org (дата обращения: 17.03.2025).
4. Уязвимости веб-приложений: статистика 2023 // Positive Technologies. 2023. URL: https://www.ptsecurity.com/ru-ru/research/analytics/web-vulnerabilities-2023/ (дата обращения: 15.03.2024).
5. OWASP Top Ten Project // OWASP Foundation. 2021. URL: https://owasp.org/www-project-top-ten/ (дата обращения: 15.03.2024).
6. State of Open Source Security Report 2023 // Snyk. 2023. URL: https://snyk.io/reports/open-source-security/ (дата обращения: 14.03.2024).
7. Докучаев В.А., Маклачкова А.С., Статьев В.В. Метод автоматизированного тестирования защищенности веб-приложений от SQL-инъекций // Телекоммуникации и информационные технологии. 2019. Т. 6. № 1. С. 35–43.
8. Sadeghian A., Zamani M., Abd Manaf A. SQL Injection Vulnerability Detection Using Machine Learning Methods // Journal of Systems and Software. 2017. V. 132. P. 21–36. DOI: 10.1016/j.jss.2017.06.067