تأمين وترقيع ثغرات تطبيقات خدمةالحوسبةالسحابية بالتطبيق على ثغرتي (SQL Injection & XSS)

Abstract

المستخلص

الحوسبة السحابية هي أحد أساليب الحوسبة التي يتم فيها تقديم الموارد الحاسوبية كخدمات، ويتاح للمستخدمين الوصول إليها عبر شبكة الإنترنت (السحابة)، دون الحاجة إلى امتلاك المعرفة، أو الخبرة، أو حتى التحكم بالبنى التحتية التي تدعم هذه الخدمات. كما يمكن النظر إلى الحوسبة السحابية على أنها مفهوم عام يشمل البرمجيات كخدمة (Software as a Service)، وغيرها من التوجهات الحديثة في عالم التقنية التي تشترك في فكرة الإعتماد على شبكة الإنترنت لتلبية الإحتياجات الحوسبية للمستخدمين. تعطي العديد من الشركات مرونة الوصول إلى الموارد الحاسوبية اللازمة، وتساهم في تقليل تكاليف البنية التحتية للشركات الناشئة، لكن الإعتماد عليها لا يخلو من المشاكل، فكثير من المستخدمين يثيرون مواضيع مثل الخصوصية، الأمن والحماية عندما يدور الحديث عن "السحابة". لذلك فهناك اهتمام متزايد بأدوات الحوسبة السحابية مفتوحة المصدر، التي تمكن الشركات من بناء وتخصيص "سحبهم" الحوسبية لتعمل بجانب الحلول التجارية الأقوى. تم في هذا البحث تحليل تحديات تطبيقات الحوسبة السحابية الأمنية ومستوى الحماية الموجود بطبقات الحوسبة السحابية حسب إختلاف نماذج التصميم وأيضاً التعرف على ثغرات تطبيقات الحوسبة السحابية وبالتحديد ثغرة حقن إستعلامات SQL و ثغرات XSS. حيث تم مناقشة هذه الثغرات والتعرف على أنواعها وطرق الوقاية منها وكيفية ترقيعها ووضع بعض الخطوات التي يجب إتباعها لحماية وأمان تطبيقات الحوسبة السحابية. وقد تم وضع خوارزمية مقترحة ونموذج لتحليل والكشف عن ثغرات تطبيقات الحوسبة السحابية يمكن تطبيقة على طبقات الأمن والحماية الثلاثة. تم عمل نظام مصادقة متعددة العوامل للتحكم في إدارة الهوية والوصول لمستخدمى تطبيقات الحوسبة السحابية للوصول الآمن لبيانات التطبيقات السحابية. ومن النتائج التي توصل لها البحث تعاني تطبيقات الحوسبة السحابية من العديد من الثغرات البرمجية والتي يتم من خلالها مهاجمة التطبيقات السحابية ومن أخطرها ثغرة حقن الإستعلامات SQL injection. قصور في عملية إدارة الهوية والوصول لتحقيق عمليات الوصول الآمن للتطبيق السحابي، بالإضافة إلى أنه تقنية أمان مستخدمة للتحقق من هوية مستخدم التطبيق في عملية الوصول إلى البيانات. وأن تطبيقات الحوسبة السحابية تتعرض لهجمات إستغلال شفرة حقن الإستعلام SQL وثغرة XSS من خلال مدخلات التطبيق السحابي. وتم بناء تطبيق سحابي بمفهومه الشامل وكذلك تضمين مستوى الحماية فيه لإدارة المدارس من خلال شبكة الإنترنت، واستخدمت طريقة التحليل الموجة نحو الكينونة في تحليل النظام. وصمم النظام بواسطة HTML واستخدام لغة PHP في البرمجة وCSS في التنسيق ولغة برمجة قواعد البيانات MYSQL لتصميم قاعدة البيانات.

Abstract Cloud computing is one of the computing methods in which computational resources are presented as services, and users have access to them via the Internet (the cloud), without the need to possess the knowledge, experience, or even control of the infrastructure that supports these services. Cloud computing can also be viewed as a general concept that includes software as a service, and other recent trends in the world of technology that share the idea of ​​relying on the Internet to meet the computing needs of users. Many companies give flexibility to access the necessary computing resources, and contribute to reducing the infrastructure costs of emerging companies, but relying on them is not without problems. Many users raise topics such as privacy, security and protection when it comes to "the cloud". So there is growing interest in open source cloud computing tools, which enable companies to build and customize their computing “clouds” to work alongside stronger commercial solutions. In this research analysing the challenges of security cloud computing applications and the level of protection present in the layers of cloud computing according to the different design models were analyzed, as well as identifying the vulnerabilities of cloud computing applications, specifically the SQL queries injection vulnerabilities and XSS vulnerabilities. In this research discussed cloud computing vulnerabilities and identification of their types, ways to prevent them, how to patch them, and some steps that must be followed to protect and secure cloud computing applications. A proposed algorithm and model have been developed for analyzing and detecting vulnerabilities in cloud computing applications that can be applied to the three layers of security and protection. A multi-factor authentication system has been implemented to control identity and access management for users of cloud computing applications for secure access to cloud application data. Among the findings of the research, cloud computing applications suffer from many software flaws through which cloud applications are attacked, and the most dangerous one is SQL injection. Deficiencies in the identity and access management process to achieve secure access to a cloud application, in addition to a security technique used to verify the identity of an application user in the process of accessing data. And that cloud computing applications are exposed to attacks by exploiting SQL query injection code and XSS vulnerability through cloud application inputs. A cloud application was built in its comprehensive concept, as well as the level of protection included in it for managing schools through the Internet, and the entity-oriented analysis method was used in the system analysis. The system was designed with HTML, using PHP in programming, CSS in formatting, and MYSQL database programming language for database design.