توجه : این پروژه به صورت فایل PDF (پی دی اف) ارائه میگردد
دانلود ارائه چهارچوبی جهت شناسایی حفره های امنیتی نرم افزار با word دارای 102 صفحه می باشد و دارای تنظیمات و فهرست کامل در PDF می باشد و آماده پرینت یا چاپ است
فایل پی دی اف دانلود ارائه چهارچوبی جهت شناسایی حفره های امنیتی نرم افزار با word کاملا فرمت بندی و تنظیم شده در استاندارد دانشگاه و مراکز دولتی می باشد.
این پروژه توسط مرکز مرکز پروژه های دانشجویی آماده و تنظیم شده است
? مقدمه - ?
امروزه با گسترش روزافزون نرم افزارها در ابعاد مختلف، مسائل مختلفی مورد توجه قرار گرفته
شده اند. گسترش نرم افزارها چه از لحاظ حجم و پیچیدگی و چه از لحاظ سطح کاربردی باعث شده
است تا این نرم افزار ها با نیازهای مهمتری روبرو شوند. اگرچه که امنیت نرم افزار مدتی است که
مورد توجه قرار گرفته شده است، ولی بروز موارد جدیدی از نقض های امنیتی و گسترش
تکنولوژی های جدید مهندسی نرم افزار با عث شده است تا امنیت از جهات مختلفی مورد بررسی
قرار گیرد.
برای امنیت تعاریف مختلفی ارائه شده است، ولی برداشت کلی از امنیت را اینگونه می توان توصیف
کرد: جلوگیری از دسترسی ها و دستکاری های غیرمجاز داده. بنابراین هدف در امنیت، محافظت از
داده برای جلوگیری از افشا و تغییر آن است. تاکنون سطوح مختلفی برای امنیت پیشنهاد شده است.
و در این سطوح تحقیقات و مطالعات بسیار زیادی صورت گرفته است. یکی از مهترین سطوح،
سطح نرم افزار است. مطالعات نشان داده است که بسیاری از نقض های امنیتی در اثر وجود نقصی
در کد یا رعایت نکردن مواردی در طراحی نرم افزار است. بنابراین می توان با رعایت نکاتی در
مراحل تولید و توسعه نر مافزار، برخی از نیازمندی های امنیتی آن را تأمین کرد.
با ظهور صنعت مهندسی نرم افزار، امنیت نرم افزار در مراحل اخیر توسعه نرم افزار مورد توجه قرار
می گرفت. و معمولا در زمان تست، امنیت آن بررسی می شد. ولی با افزایش پیچیدگی نرم افزار از
طرفی و از طرف دیگر وجود اهداف و انگیزه های قوی جهت نقض امنیتی، برآوردن امنیت با
مشکلاتی روبرو شد. لذا مهندسان نرم افزار تصمیم گرفتند که امنیت را در مراحل اولیه ی توسعه
و ... بوجود آمدند که CLASP ،SDL نر مافزار بگنجانند. بدین ترتیب فرآیندهای های مختلفی چون
فرایندهای امنیتی را در مراحل اولیه نرم افزار قرار می دهند. نتایج بدست آمده از این فرایندها نشان
می دهد که تأمین امنیت نیاز به وقت کمتری داشته و مقرون به صرفه است.معمولا نقض های امنیتی به دلیل وجود آسیب پذیری 1 رخ می دهند. آسیب پذیری به معنی وجود نقصی
یا عیبی در نرم افزار است که بتوان از آن بهره برداری 2 کرد. آسیب پذیری ها ممکن است عمدی یا غیر
عمدی رخ دهند. از آنجا که بسیاری از آسیب پذیری ها ناخواسته و غیر عمدی اتفاق می افتند، باید در
پی آن باشیم که این آسیب پذیری ها را کشف کنیم و از وقوع آن ها جلوگیری کنیم.
??? ، 2] تعداد آسیب پذیری های کشف شده در سال ???? ] 3 NVD بر طبق گزارش منتشر شده از
بوده که این عدد در سال ???? به ???? افزایش پیدا کرده است. هر یک از آسیب پذیری ها ممکن
است خطراتی را برای سیستم نرم افزاری موجب شوند. به آسیبی که در صورت بهره برداری از یک
آسیب پذیری ممکن است متوجه سیستم نرم افزاری شود، ریسک یا مخاطره 4 گفته می شود. امروزه
چارچوب های متعددی جهت محاسبه ی ریسک بوجود آمده اند. از جمله مشهورترین این چارچوب ها
7] است. این سیستم از معیارهای مختلفی ] CVSS سیستم امتیازدهی آسیب پذیری های مشترک 5 یا
جهت محاسبه ی ریسک و احتمال بهره برداری از آسیبپذیری استفاده می کند.
وجود دارند که ISO/IEC و 27002 ISO/IEC از سویی دیگر استانداردهایی چون 27001
مبنایی را برای ایمن سازی سرمایه های سازمانی و روش هایی را برای مدیریت فرایند امنیت اطلاعات
امنیت را با Common Criteria (ISO/IEC ارائه می نمایند[ 8]. همچنین استاندارد ( 15408
اجرای فرایندهای ارزیابی کارکرد امنیتی، تضمین می کند.
بنابرآنچه مطرح شد، ما در پی روشی جهت شناسایی آسیب پذیری های امنیتی در مراحل اولیه ی تولید
نر مافزار هستیم تا بتوانیم نیازمندی های امنیتی سیستم نرم افزاری خود را تأمین کنیم. برای این کار
ت کتک مراحل چرخه ی حیات نرم افزار را مورد ارزیابی قرار می دهیم. از استاندارهایی چون
استفاده می کنیم تا ارزیابی امنیت را تضمین کنیم و همچنین از پایگاه داده های Common Criteria
4] برای آسیب پذیری ها استفاده می کنیم که یک نام گذاری استاندارد برای ] CVE متعارفی چون 1
آسیب پذیری ها است. بدین ترتیب نرم افزاری ایمن را تولید می کنیم که اهداف امنیتی مورد نظر را
برآورده می کند.
منابع و ماخذ
[1] E. Pierre, J. Arnold, AVA_VAN.2 – Performing Vulnerability Analysis under
CCv3, SAIC, 2008
[2] http://nvd.nist.gov/nvd.cfm
[3] http://www.cert.org
[4] http://cve.mitre.org
[5] P. Meunier, Classes of Vulnerabilities and Attacks, Wiley Handbook of Science and
Technology for Homeland Security, 2008
[6] M. Howard, D. LeBlance, J. Viega, 24 Deadly Sins of Software Security, McGraw-
Hill, 2010
[7] http://www.first.org/CVSS/
[8] http://www.27000.ir
[9] A. Agrawal, R.A. Khan, A Framework to Detect and Analyze Software
Vulnerabilities –Development Phase Perspective-, International Journal of Recent
Trends in Engineering, 2009
[10] J.D. Howard, P. Meunier, Using a “common languages” for computer incident
security information, Computer Security Handbook, Chapter3, John Wiley and Sons
publishers, 2002
[11] P. Mell, K. Scarfone, S. Romanosky, A Complete Guide to the Common
Vulnerability Scoring System Version2.0, 2007
[12] F. Piessens, A Taxonomy of causes of software vulnerabilities in internet software,
Supplementary Proceedings of the 13th International Symposium on Software
Reliability Engineering, 2002
88
[13] S. Weber, P.A. Karger, A. Paradkar, A software flaw taxonomy: Aiming tools at
security, Software Engineering for Secure Systems (SESS’05), 2005
[14] ISO 7498:1984 Open Systems Interconnection – Basic Refrence Model
[15] M. Howard, S. Lipner, The Security Development Lifecycle: SDL: A Process for
Developing Demonstrably More Secure Software, Microsoft Press, 2006
[16] OWASP, 'CLASP: Comprehensive Lightweight Application Security Process',
http://www.owasp.org/index.php/Category:OWASP_CLASP_Project, 2006
[17] Flechais, I., 'Designing Secure and Usable Systems', Ph.D. Thesis, University of
London, London, UK, 2005
[18] http://www.microsoft.com/downloads/
[19] Bart De Win, Riccardo Scandariato, Koen Buyens, Johan Grégoire, Wouter Joosen,
“On the secure software development process: CLASP, SDL and Touchpoints
Compared”, Information and Software Technology 51, 2009
[20] http://www.saintcorporation.com/
[21] I. Jacobson, Object-Oriented Software Engineering: A Use Case Driven Approach,
Addison-Wesley, 1992
[22] Asoke K. Talukder, Manish Chaitannya, Architecting Secure Software Systems,
CRC Press, 2009
[23] Song Ho Kim, Choon Seong Leem, A Case Study in Applying Common Criteria to
Development Process to Improve Security of Software Products, Springer-Verlag Berlin
Heidelberg, 2004
[24] ISO/IEC 15408-3: Common Criteria for Information Technology Security
Evaluation, Version3.1, Revision3, Part3: Security assurance components, July, 2009
[25] Common Methodology for Information Technology Security Evaluation,
Evaluation methodology, Version3.1, Revision3, July, 2009
[26] ISO/IEC 15408-2: Common Criteria for Information Technology Security
Evaluation, Version3.1, Revision3, Part1: Introduction and general model, July, 2009
89
A Framework for Identifying Software Vulnerabilities
Abstarct
Considering the fast development of Software and their complexity, the requirement of
supplying their security has faced new aspects. The more the software become complex
and access rate of the rises, the new approaches to attack and access or manipulate their
data is being created. Therefore creating a new approach in order to detect software
vulnerability is essential. Different studies has proved that in case of considering
security in late phases of software production and testing to mitigate software
vulnerabilities, will be time consuming and complex and it is probable that it couldn’t
supply the security completely. So, by considering security issue from the early phases
of software production is essential.
In this thesis, a framework is being presented in order to identify software vulnerability,
taking advantage of common criteria (ISO/IEC 15408) standard and CVE (Common
Vulnerabilities and Exposures), identifying security holes of software is done in every
phase of software life cycle. So that the process of secure software production improves
and software with less vulnerability is being produce.
Keywords
Software Vulnerability, Common Criteria, CVE, CVSS, Secure Software
- ۹۵/۰۶/۰۲