A Development of a Security Model for Structured Query Language Injection using Z Formal Specification Language

Abstract

Vulnerability in web applications allows malicious users to obtain unrestricted access to private and confidential information. Structured Query Language (SQL) injection is ranked at the top in web application attack mechanisms used by hackers to steal data from organizations. Hackers can take advantages due to flawed design, improper coding practices, improper validations of user input, configuration errors, or other weaknesses in the infrastructure. Many existing techniques, such as filtering, information-flow analysis, penetration testing, and defensive coding, can detect and prevent a subset of the vulnerabilities that lead to Structured Query Language Injection Attacks (SQLIAs). Techniques that employ input validation are prone to a large number of false positives and yet there is no guarantee that there are no false negatives. This thesis proposes model to detect and prevent SQLIAs, The thesis approach addresses SQLIAs by combining static analysis and runtime monitoring. In its static part, this approach uses program analysis technique to automatically build the abstract legitimate queries that could be generated by the application. In its dynamic part, this approach monitors the dynamically generated queries at runtime and checks them for compliance with the statically-generated queries. To build proposes model using formal specification Z notation language. A formal specification is simply a description of a system using a mathematical notation.The Z notation is a formal specification language used for describing and modeling computing systems. This research proposes a simple and efficient model to detect SQL injection attacks, the proposed model can detect the attacks very efficiently by restricting the number of queries to be scanned during runtime. إن الثغرات الأمنية الموجودة في معظم تطبيقات الويب تمكن القراصنة من الوصول الي المعلومات السرية والخاصة. حقن تعليمات الاستعلام البنيوية يشكل خطر كبير علي تطبيقات الويب ويصنف من الاليات الاكثر شيوعا وأستخداما لسرقة المعلومات . حيث يستفيد القراصنة من الاخطاء الموجودة في تصميم الانظمة او الثغرات الموجودة من عدم تصفية مدخلات المستخدم لبعض الحروف و الرموز الخاصة المضمنة داخل جمل الاستعلام البنيوية ، او لا يتم مراجعة نوعية المدخلات ان كانت نصية ام عددية مما يسبب عدم التكهن بنتيجة تنفيذها.هنالك الكثير من التقنيات الموجودة مثل تقنية التنقيح ، تحليل تدفق المعلومات ، اختبار الاختراقات الممكنة والتشفير التي تستطيع اكتشاف ومنع مجموعة بسيطة من الثغرات التي يمكن ان تودي الي حقن تعليمات الاستعلام البنيوية.التقنيات التي تستخدم للتحقق من صحة المدخلات قد تعرض الكثير من الانزارات الايجابية الكاذبة مع ذلك ليس هناك مايضمن انه لا توجد انزارات سلبية كاذبة ممايجعل هذة التقنيات غير موثوق بها . في هذا البحث تم اقتراح نموذج لكشف ومنع حقن تعليمات الاستعلامات البنيوية. حيث يتضمن هذا النموذج المقترح الجمع مابين التحليل الساكن و مراقبة عملية التنفيذ .في المرحلة الخاصة بالتحليل الساكن للنموذج يستخدم تقنية تحليل البرامج لانشاء استعلامات التي يمكن تطبيقها بواسطة النظام. اما في مرحلة التحليل الديناميكي ومراقبة التشغيل يتم مراقبة كل الاستعلامات التي يتم تنفيذها اثناء تشغيل النظام . ويتم التحقق منها ومقارنتها مع الاستعلامات التي تم توليدها في مرحلة التحليل الساكن. و لبناء هذا النموذج تم استخدام واحدة من لغات التوصيف الرسمية وهي لغة . Z notaionإن التوصيف الرسمي هو ببساطة وصف للنظام باستخدام الرموز الرياضية وتعتبر Z notaion لغة توصيف رسمية تستخدم لوصف أنظمة الحاسوب والنمازج. يقترح هذا البحث نموذج بسيط وفعال للكشف عن هجمات (حقن SQL)، حيث يستطيع النموذج المقترح اكتشاف الهجمات بكفاءة عالية من خلال تقييد عدد طلبات البحث التي سيتم فحصها أثناء وقت التشغيل.