مدل سازی سطح توانایی مهاجم با تمرکز بر حملات تزریق روی برنامه های کاربردی وب

چگونگی سوءاستفاده از آسیب پذیری ها و اثرات آن در کنار الگوهای شناخته شده، متاثر از توانمندی مهاجم ها می باشد. هرچه مهاجم توانمندتر باشد، مخاطره تهدیدها و آسیب پذیری ها افزایش پیدا می کند. بنابراین، تحلیل و ارزیابی امنیتی سامانه ها وابسته به توانمندی مهاجم است. علاوه بر این، اطلاع از سطح توانمندی مهاجم ارتباط مستقیمی با هزینه مورد نیاز برای امنیت و بکارگیری کنترل ها و اقدامات امنیتی متناسب با توان مهاجم دارد. بر این اساس، این مقاله مدل سازی توانمندی مهاجم را هدف گذاری کرده است. ما در این مقاله با تکیه بر تزریق پیلودهایی که مهاجم برای سوءاستفاده از آسیب پذیری های تزریق استفاده می کند، توانمندی مهاجم را با سه گانه ی (type, technique, point_entry) مدل می کنیم. مولفه ی type بیانگر نوع تزریق می باشد که شامل مجموعه ای شناخته شده از انواع حمله تزریق است که مهاجم در طول حمله به کار برده است. مولفه ی technique بیانگر تکنیک هایی است که مهاجم در طول حمله به کار برده است، و مولفه ی point_entry نشان دهنده ی مجموعه ای از نقاط شناخته شده تزریق پیلود است. از این مدل هم برای سطح بندی و مقایسه توانمندی مهاجم و هم برای سطح بندی امنیت یک سامانه با توجه به سطح توان مهاجمی که می تواند امنیت آن را به خطر بیاندازد استفاده می شود. نتایج ارزیابی تجربی انجام شده نشان می دهد که مدل ارائه شده برای تعیین سطح توانمندیِ مهاجم قابل استفاده است. با این که مدل ارائه شده با تمرکز بر حملات تزریق sql است، اما قابل توسعه به بسیاری از حملات دیگر می باشد.

modeling attacker’s capability level focusing on injection attacks on web applications

how to exploit vulnerabilities and their damage potentials are mainly affected by the capability of attackers. the more powerful the attacker, the greater risk of threats and vulnerabilities. therefore, the security analysis of a web application and choosing risk mitigation countermeasures depend on the ability of the attackers threaten the application. focusing on sql injection attacks, this paper is aimed at modeling the attacker’s capability to be further used for appropriate security evaluation and choosing cost-effective security controls. we model the attacker’s capability with the triple 〈type, technique, entry_point〉. the value in each component of the triple is obtained from the payloads through which the attacker tries to exploit the injection vulnerabilities. the type represents the injection type, including a known set of injection attack types namely, error_based, union_based, boolean_based_blind and etc. the technique represents the techniques, which are used by the attacker during the attack, e.g. using special character, using union, using complex query, using encoding and etc. finally, the entry_point represents the set of known injection entry points including get/post method, http_variables, frequenc_based_primary_application and etc. this model is used for leveling and comparing the attacker’s capabilities as well as for leveling the security of a web application with respect to the level of the attacker who is able to compromise the web application. the results of the experimental evaluation show that the proposed model can be used to determine the attacker’s capability level. the model can be simply extended to adopt other security vulnerabilities attacks.