برنامه‌هاي وب پيش‌رونده (PWA) فناوري‌هاي سمت كلاينت جديدي مانند Service Workerها و Web App Manifestها را ارائه مي‌دهند كه سطح حمله را بزرگتر از معماري‌هاي وب استاندارد مي‌كند. اما اكثر ابزارهاي فعلي تست امنيت پوياي برنامه‌هاي كاربردي (DAST) از اين بخش‌ها اطلاعي ندارند كه باعث مي‌شود ارزيابي‌هاي امنيتي دقيق‌تر نباشند. اين پايان‌نامه چارچوب PWA-Aware DAST Enhancement (PADE) را پيشنهاد مي‌دهد، يك ساختار جديد و انعطاف‌پذير كه ويژگي‌هاي تشخيص آسيب‌پذيري خاص PWA را به ابزارهاي DAST اضافه مي‌كند. پنج ماژول در چارچوب PADE وجود دارد كه مي‌توانند با هم كار كنند: PWA Artifact Discovery & Enumeration، Static Analysis، Dynamic Interaction، Vulnerability Correlation و al‎e‎rt Generation. به عنوان يك بهبود منحصر به فرد براي OWASP ZAP، يك پياده‌سازي اثبات مفهوم انجام شد كه روش‌هاي تحليل استاتيك مانند تجزيه Abstract Syntax Tree (AST) براي اسكريپت‌هاي Service Worker را با ارزيابي‌هاي اكتشافي manifest تركيب مي‌كرد. ما از رويه‌هاي اسكن خودكار پايه و تقويت‌شده روي سه PWA واقعي استفاده كرديم: a2hs، cycletracker و js13kpwa. نتايج نشان مي‌دهد كه اسكنر بهبوديافته، مشكلات معماري جدي‌اي را پيدا كرده است كه ZAP پايه و حتي اسكنرهاي تجاري مانند Burp Suite از قلم انداخته‌اند. اين نقص‌ها شامل Manifest Scope Hijacking و unsafe fetch event listeners هستند. بررسي مقايسه‌اي نشان مي‌دهد كه پوشش تشخيص بدون اضافه كردن false positives بيشتر، بسيار بهتر شده است. اين مطالعه با فراهم كردن امكان اسكن PWA آگاه از متن در فرآيندهاي فعلي، شكاف مهمي را در امنيت برنامه‌هاي وب پر مي‌كند. معماري PADE انعطاف‌پذير است، كه آن را به يك افزودني مفيد براي اكوسيستم‌هاي DAST تبديل مي‌كند. اين معماري به تيم‌هاي امنيتي روشي پيشگيرانه براي مقابله با خطرات خاصي كه فناوري‌هاي وب مدرن با آن مواجه هستند، مي‌دهد.

1404/08/19

Enhancing Automated Penetration Testing Frameworks for Modern Web Applications

10/20/2026 12:00:00 AM

Progressive Web Applications (PWAs) provide new client-side technologies like Service Workers an‎d Web App Manifests, which make the attack surface bigger than it is in stan‎dard web architectures. But most current Dynamic Application Security Testing (DAST) tools donʹt know about these parts, which makes security assessments less accurate. This thesis suggests the PWA-Aware DAST Enhancement (PADE) framework, a new an‎d flexible structure that adds PWA-specific vulnerability detection features to DAST tools. There are five modules in the PADE framework that can function together: PWA Artifact Discovery & Enumeration, Static Analysis, Dynamic Interaction, Vulnerability Correlation, an‎d al‎e‎rt Generation. As a unique improvement for OWASP ZAP, a proof-of-concept implementation was made that combined static analysis methods like Abstract Syntax Tree (AST) parsing for Service Worker scripts with heuristic manifest eva‎luations. We used automated baseline an‎d augmented scanning procedures on three real-world PWAs: a2hs, cycletracker, an‎d js13kpwa. The results show that the improved scanner found serious architectural issues that baseline ZAP an‎d even commercial scanners like Burp Suite missed. These flaws include Manifest Scope Hijacking an‎d unsafe fetch event listeners. A comparative examination shows that detection coverage has gotten a lot better without adding more false positives. This study fills an important gap in web application security by allowing context-aware PWA scanning to be done in current processes. The PADE architecture is flexible, which makes it a useful addition to DAST ecosystems. It gives security teams a proactive way to deal with the specific dangers that modern web technologies face

تشخيص خودكار آسيبپذيري , برنامه‌هاي وب پيش‌رونده , تست امنيت پوياي برنامه‌هاي كاربردي

Automated Vulnerability Detection , Progressive Web Applications , Dynamic Application Security Testing

Yosef Jamor

Dr Mehrdad Ashtiani