توسعه و پیشرفت برنامههای تحت وب، چالشهایی را در رابطه با بررسی خودکار امنیت این برنامهها به وجود آورده است. در واقع ظهور فناوریهایی مانند ارتباط ناهمگام برنامهی وب با سرور، سبب شده است تا خزندههای سنتی فاقد کارایی لازم برای خزش برنامههای غنی- شدهی تحت وب باشند. برای رفع این چالش، خزندههای مبتنی بر مدل ارائه شدند. این خزندهها در حال حاضر در حال آزمایش هستند و هیچ یک از ابزارهای کاربردی از آنها استفاده نمیکنند. هیچ یک از کارهای انجام شده در زمینهی خزش مبتنی بر مدل، با نگاه امنیتی نبوده است و در نتیجه مدلهای ارائه شده از برنامههای وب، برای انجام تستهای امنیتی و کشف آسیبپذیریها بهینه نیستند. در این مقاله یک مدل ریسک برای خزش برنامههای غنیشدهی وب ارائه شدهاست. در این مدل، خزنده سعی میکند تا حالتهای آسیبپذیر را قبل از حالتهای دیگر موجود در برنامه کشف کند. بدین ترتیب چنانچه به دلایلی مانند زمان محدود، خزنده نتواست خزش را تا انتها انجام دهد، حالتهای کشف شده، از نظر امنیتی، از اهمیت بیشتری برخوردار خواهند بود. به منظور ارزیابی کارایی راهبردهای خزش مختلف، هزینهی خزش را بر حسب تعداد رویدادهای اجرا شده و همچنین تعداد بارگذاریهای مجدد انجام شده در طول خزش، محاسبه میکنیم. نتیجهی آزمایشها به همراه تحلیل آنها در انتهای مقاله نشان میدهد که راهبرد پیشنهادی با صرف هزینهی کمتر توانسته است همهی حالتهای آسیبپذیر را کشف کند.

کلمات کلیدی