DOI: 10.17587/prin.14.245-253

УДК: 004.056

Поиск информации о принимаемых сервером запро­сах в закомментированном клиентском коде веб-приложений

Д. И. Назаров, исследователь безопасности, dmitry.nazarov@solidwall.io, OOO «Солидсофт», Москва, Д. А. Сигалов, мл. науч. сотр. кафедры информационной безопасности, asterite@seclab.cs.msu.ru, Д. Ю. Гамаюнов, доц. кафедры информационной безопасности, gamajun@seclab.cs.msu.su, Московский государственный университет имени М. В. Ломоносова

Рассмотрена задача обнаружения информации о принимаемых сервером запросах путем ее извлечения из закомментированного клиентского кода веб-приложений. Предложен и программно реализован алгоритм, извлекающий закомментированные вызовы. Проведен эксперимент более чем на миллионе страниц в сети Интернет, относящихся более чем к 50 тыс. веб-приложений из списка Alexa Top 1 Million. По его результатам было выяснено, что закомментированные вызовы действительно встречаются в реальных веб-приложениях. В данном случае они были обнаружены примерно в 2,78 % из всех исследованных веб-приложений. Кроме того, около 40 % из них были отмечены как «живые», т. е. имеющие конечную точку на сервере. Проведенный беглый анализ также показал, что такие запросы нередко оказываются уязвимыми.

Ключевые слова: информационная безопасность, веб-приложение, статический анализ, поиск уязвимостей, HTTP-запрос, закомментированный код

Стр. 245–253

Ссылка для цитирования:
Назаров Д. И., Сигалов Д. А., Гамаюнов Д. Ю. Поиск информации о принимаемых сервером запросах в закомментированном клиентском коде веб-приложений // Программная инженерия. 2023. Том 14, № 5. С. 245—253. DOI: 10.17587/prin.14.245-253.