جستجوی پیشرفته مقالات
نماد اعتماد الکترونیکی
لیست مقالات ترجمه شده
سایر مقالات
توجه توجه
تمامی مقالات ترجمه شده در قالب فایل ورد (Word) ارائه میشوند.
تست قابلیت اعتماد وب سایت های فیشینگ: راهکار مبتنی بر ...
قیمت محصول: 250000 ریال
Trustworthiness testing of phishing websites: A behavior model-based approach
a b s t r a c t
Phishing attacks allure website users to visit fake web pages and provide their personal information. However, testing of phishing websites is challenging. Unlike traditional web-based program testing, we do not know the response of form submissions in advance. There exists lack of efforts to help anti-phishing professionals who manually verify a reported phishing site and take further actions. Moreover, current tools cannot detect phishing attacks that leverage vulnerabilities in trusted websites such as cross site scripting. An attacker might generate input forms by injecting script code and steal credentials. To address these challenges, we propose1 testing suspected phishing websites based on trustworthiness testing approach. In a trustworthiness testing, a website is not tested against a set of known inputs and matched the expected outputs with the actual ones. Rather, we check whether the behavior (response) of websites matches with our knowledge of phishing or legitimate website behaviors to decide whether a website is phishing or legitimate. We consider a suspected website as a web-based program and test the program based on a behavior model. The model is described using the notion of Finite State Machine (FSM) that captures the submission of forms with random inputs and the corresponding responses. We then identify a number of heuristics followed by a set of heuristic combination to assist a tester deciding whether websites are phishing or legitimate based on their up-to-date behaviors. We implement a tool named PhishTester to automate the testing process. We evaluate the proposed approach with both phishing and legitimate websites. The results show that the approach incurs zero false negatives and positives in detecting phishing and legitimate websites, respectively. Moreover, our approach can detect advanced XSS-based attacks that many contemporary tools currently fail to detect.
دانلود رایگان مقاله انگلیسی 544.93 KB
چکیده
حملات فیشینگ کاربران وب سایت را به بازدید از صفحات وب جعلی فریب می دهند و اطلاعات شخصی آنها را تهیه می کنند. با این حال، تست وب سایت های فیشینگ چالش انگیز می باشد. برخلاف تست برنامه مبتنی بر وب سابق، اطلاعی از پاسخ ثبت های فرم نداریم. کمبود تلاش برای کمک به متخصصان مقابله کننده با فیشینگ وجود دارد، افرادی که بطور دستی سایت فیشینگ گزارش شده را بررسی می کنند. بعلاوه، ابزارهای کنونی نمی توانند حملات فیشینگی را که منجر به آسیب پذیری ها در وب سایت های مورد اعتماد مانند اسکریپت سایت تشخیص دهند. یک مهاجم ممکن است فرم های ورودی را با درج کد اسکرپیت و سرقت اعتبارنامه ها تولید کند. برای بیان این چالش ها، تست وب سایت های فیشینگ مظنون را براساس راهکار تست قابلیت اعتماد را پیشنهاد می کنیم. در تست قابلیت اعتماد، وب سایت در مقابل مجموعه ای از ورودی های مشخص تست نمی شود و خروجی های مورد انتظار با خروجی های واقعی مطابقت داده نمی شود. بلکه، این مسئله را بررسی می کنیم که آیا رفتار (پاسخ) وب سایت ها با دانش ما در مورد فیشینگ یا رفتارهای وب سایت قانونی برای تصمیم گیری در مورد اینکه آیا وب سایت فیشینگ می باشد یا قانونی مطابقت دارد. وب سایت مظنون را بعنوان برنامه مبتنی بر وب در نظر می گیریم و برنامه را براساس مدل رفتار تست می کنیم. مدل با استفاده از مفهوم ماشین حالت متناهی (FSM) توصیف می شود که به ثبت فرم ها با ورودی های تصادفی و پاسخ های متناظر دست می یابد. سپس به شناسایی تعدادی از هیوریستیک ها بهمراه مجموعه ای از ترکیب هیوریستیک برای کمک به تست کننده در مورد آینکه آیا وب سایت براساس رفتارهای آپدیت آنها فیشینگ می باشد یا قانونی، می پردازیم. ابزاری به نام PhishTester را برای خودکارسازی فرایند تست پیاده سازی می کنیم. به ارزیابی راهکار پیشنهادی با هر دو وب سایت های فیشینگ و قانونی می پردازیم. نتایج نشان می دهند که راهکار منجب به حملات مبتنی بر XSS منفی ها و مثبت های غلط صفر می شود که اکثر ابزارهای معاصر قادر به تشخیص نمی باشند.
تعداد صفحات مقاله انگلیسی:14 صفحه
تعداد صفحات مقاله فارسی: 38 صفحه
