رئیس دانشکده مهندسی برق و کامپیوتر مجله مهندسی برق دانشگاه تبریز 2008-7799 49 4 2020 02 01 Assessing of Web Application Resiliency against Flooding DoS Attacks in the Business Layer ارزیابی تاب‌آوری برنامه کاربردی وب در برابر حملات منع‌خدمت سیلابی در لایه کسب و کار 1757 1767 10430 FA میترا علیدوستی مجتمع فناوری اطلاعات، ارتباطات و امنیت - دانشگاه صنعتی مالک اشتر علیرضا نوروزی مجتمع فناوری اطلاعات، ارتباطات و امنیت - دانشگاه صنعتی مالک اشتر اجمد نیک آبادی دانشکده مهندسی کامپیوتر - دانشگاه صنعتی امیرکبیر Journal Article 2017 10 20 According to IMPERVA report, application layer DoS attacks have involved about 60 percent of total DoS attacks. Today, attacks have been transferred to the business layer. Web application vulnerability scanners cannot detect business logic vulnerabilities (vulnerabilities related to logic). This paper presents BLDAST, A dynamic and black-box vulnerability analysis approach that identify business logic vulnerabilities of a web application against flooding DoS attacks. BLDAST assesses web application resiliency against flooding DoS attacks in the business layer. BLDAST first extracts business logic processes of a web application. Business logic processes with high overload are selected and finally, based on selected processes, BLDAST runs business layer DoS test scenarios. The evaluation conducted on four well-known open source web applications shows that BLDAST is able to detect business logic vulnerabilities. In addition, we show that an attacker in business logic attacks can exhaust target by consuming only one percent of his resources in comparison to other layers attacks. Therefore, business logic attacks are very dangerous and BLDAST is able to identify vulnerable web applications against these attacks. طبق گزارش IMPERVA حملات منعقد در لایه کاربرد، حدود 60 درصد از کل حملات منع خدمت را تشکیل می‌دهند. امروزه حملات به لایه کسب و کار منتقل شده‌اند. ابزارهای تحلیل آسیب‌پذیری قادر به شناسایی آسیب‌پذیری‌های لایه کسب وکار (آسیب‌پذیری‌های مربوط به منطق) برنامه‌کاربردی وب نیستند. در این تحقیق راهکار جعبه سیاه برای شناسایی آسیب‌پذیری لایه کسب و کار برنامه‌کاربردی وب در مقابل حملات منع‌خدمت سیلابی را با نام BLDAST پیشنهاد می‌دهیم. هدف BLDAST ارزیابی تاب‌آوری برنامه‌کاربردی وب در برابر حملات منع‌خدمت سیلابی در لایه کسب وکار است. BLDAST ابتدا فرایندهای کسب و کار برنامه را استخراج می‌نماید سپس فرایندهای کسب و کار سنگین را انتخاب می‌کند و در نهایت، سناریوی آزمون منع‌خدمت لایه کسب و کار را اجرا می‌کند. آزمایش‌ها بر روی چهار برنامه‌کاربردی معروف نشان داد، BLDAST قادر است آسیب‌پذیری‌های لایه کسب و کار این برنامه‌ها را شناسایی کند. علاوه بر این نشان دادیم که مهاجم در حملات لایه کسب و کار می‌تواند با مصرف تنها یک در صد از منابع خود در قیاس با حملات لایه‌های دیگر، سیستم هدف را شکست دهد. بنابراین حملات لایه کسب وکار بسیار خطرناک هستند که BLDAST قادر به شناسایی آسیب‌پذیری برنامه‌های‌کاربردی در برابر این حملات است. آزمون جعبه سیاه لایه کسب و کار فرایند کسب و کار سناریو آزمون منع‌خدمت https://tjee.tabrizu.ac.ir/article_10430_652ede2c692e28ab45b0dad050b6ea10.pdf