A secure session management based on threat modeling
العناوين الأخرى
نظام أمن لإدارة الجلسة بالاعتماد على نموذج التهديدات
المؤلف
المصدر
العدد
المجلد 54، العدد 4 (sup) (31 ديسمبر/كانون الأول 2013)، ص ص. 1176-1182، 7ص.
الناشر
تاريخ النشر
2013-12-31
دولة النشر
العراق
عدد الصفحات
7
التخصصات الرئيسية
تكنولوجيا المعلومات وعلم الحاسوب
الموضوعات
الملخص AR
عندما يتصفح المستخدم شبكة الإنترنت فإن هنالك جلسة تستمر لفترة من الوقت تبدأ مع دخول المستخدم إلى الموقع و تنتهي هذه الجلسة عندما يغلق المستخدم الموقع.
إن هذه الجلسة ستكون معرضة إلى الهجوم عن طريق السرقة أو التزوير.
حيث أن لكل جلسة رقم معين سيستخدم لتحديدها و كذلك يستخدم للتخويل أيضا، و هذا يعني عند التحقق من المستخدم عن طريق اسم المستخدم أو كلمة السر فإن الجلسة ستكون محددة لذلك المستخدم المخول.
إن رقم الجلسة سيكون عرضة للهجوم عن طريق الحصول على هذا الرقم و استخدامه و الدخول إلى الجلسة بدون أن يشك المستخدم بذلك.
لذا يجب أن يكون هنالك أسلوب أمن في إدارة الجلسة يتم تنفيذه في مرحلة تصميم تطبيق الإنترنت و ليس بالاعتماد على مزود الخدمة فقط.
أن نموذج التهديد سوف يحدد جميع التهديدات التي تتعرض لها البرامج مما يساعد المصممين عند التصميم على بناء نظام أمن خالي من التهديدات.
في هذا البرنامج تم تصميم نموذج التهديدات الخاص بالتهديدات المؤثرة على رقم الجلسة باستخدام برنامج Seamonster لتصميم نماذج آمنه، ثم اقتراح نظام أمن لإدارة الجلسة.
إن نظام إدارة الجلسة الآمن تم تصميمه لإعطاء ثقة و تخويل بين المستخدم و مزود الخدمة لتجنب الهجوم عن طريق استخدام رقم الجلسة و ذلك عن طريق الاعتماد على عنوان جهاز مستخدم الإنترنت حيث تم استخدام برنامج 2008 Visual Studio.Net لتنفيذ النظام المقترح.
الملخص EN
A session is a period of time linked to a user, which is initiated when he/she arrives at a web application and it ends when his/her browser is closed or after a certain time of inactivity.
Attackers can hijack a user's session by exploiting session management vulnerabilities by means of session fixation and cross-site request forgery attacks.
Very often, session IDs are not only identification tokens, but also authenticators.
This means that upon login, users are authenticated based on their credentials (e.g., usernames/passwords or digital certificates) and issued session IDs that will effectively serve as temporary static passwords for accessing their sessions.
This makes session IDs a very appealing target for attackers.
In many cases, an attacker who manages to obtain a valid ID of user’s session can use it to directly enter that session – often without arising user’s suspicion.
A secure session management must be implemented in the development phase of web applications because it is the responsibility of the web application, and not the underlying web server.
Threat modeling is a systematic process that is used to identify threats and vulnerabilities in software and has become popular technique to help system designers think about the security threats that their system might face.
In this paper we design the threat modeling for session’s ID threat by using SeaMonster security modeling software, and then propose a secure session management that avoids the vulnerabilities.
The proposed secure session management is designed to give trust authentication between the client and the server to avoid session hijacing attack by using both: server session’s ID and MAC address of the client.Visual Studio.
Net 2008 is used in implementing the proposed system.
نمط استشهاد جمعية علماء النفس الأمريكية (APA)
Ismail, Rim Jafar. 2013. A secure session management based on threat modeling. Iraqi Journal of Science،Vol. 54, no. 4 (sup), pp.1176-1182.
https://search.emarefa.net/detail/BIM-352379
نمط استشهاد الجمعية الأمريكية للغات الحديثة (MLA)
Ismail, Rim Jafar. A secure session management based on threat modeling. Iraqi Journal of Science Vol. 54, no. 4 (Supplement) (2013), pp.1176-1182.
https://search.emarefa.net/detail/BIM-352379
نمط استشهاد الجمعية الطبية الأمريكية (AMA)
Ismail, Rim Jafar. A secure session management based on threat modeling. Iraqi Journal of Science. 2013. Vol. 54, no. 4 (sup), pp.1176-1182.
https://search.emarefa.net/detail/BIM-352379
نوع البيانات
مقالات
لغة النص
الإنجليزية
الملاحظات
Includes bibliographical references : p. 1182
رقم السجل
BIM-352379
قاعدة معامل التأثير والاستشهادات المرجعية العربي "ارسيف Arcif"
أضخم قاعدة بيانات عربية للاستشهادات المرجعية للمجلات العلمية المحكمة الصادرة في العالم العربي
تقوم هذه الخدمة بالتحقق من التشابه أو الانتحال في الأبحاث والمقالات العلمية والأطروحات الجامعية والكتب والأبحاث باللغة العربية، وتحديد درجة التشابه أو أصالة الأعمال البحثية وحماية ملكيتها الفكرية. تعرف اكثر
