STASEC – ALAT ZA OTKRIVANJE SIGURNOSNIH PROPUSTA WEB APLIKACIJA STATIČKOM ANALIZOM JAVA IZVORNOG KODA

Сажетак

Sigurnost Web aplikacija postala je jedan od najbitnijih segmenata u njihovom dizajnu i implementaciji. Sve je više Web aplikacija koje manipulišu osjetljivim podacima, pa zbog toga Web aplikacije moraju biti adekvatno zaštićene od potencijalnih napada. Otkrivanje sigurnosnih propusta Web aplikacija moguće je izvršiti na dva načina: statičkom analizom izvornog koda i dinamičkom analizom. Pod statičkom analizom izvornog koda podrazumijeva se testiranje aplikacije analizom izvornog koda, bez njenog pokretanja,. Najčešći uzročnik ranjivosti web aplikacija je neadekvatna validacija ulaznih podataka. Pored toga kompleksnost koda same aplikacije smatra se jednim od uzročnika nepouzdanosti softvera. Statičkom analizom Web aplikacija moguće je otkriti potencijalne sigurnosne propuste i, na taj način, stvoriti pretpostavke za njihovo otklanjanje. Pri statičkoj analizi izvornog koda obično se koriste namjenski razvijeni alati. Postojeći alati za otkrivanje sigurnosnih propusta statičkom analizom izvornog koda mogu se podijeliti na komercijalne alate i alate otvorenog koda. Većina alata pruža mogućnost statičke analize aplikacija pisanih u određenom programskom jeziku, nad određenim skupom pravila, koji nije moguće proširiti. U radu je predstavljen STASEC - alat za otkrivanje sigurnosnih propusta statičkom analizom Java izvornog koda. Osnovne karakteristike ovog alata su visok procenat detekcije sigurnosnih propusta, kao i modularnost. Implementacijom modula za analizu aplikacija pisanih u drugim programskim jezicima, alat se jednostavno može proširiti. Pravila koja alat koristi pri statičkoj analizi definisana su XML šemom. Na ovaj način omogućeno je jednostavno proširivanje skupa pravila koje alat koristi pri analizi.