مدل سازي سطح توانايي مهاجم با تمركز بر حملات تزريق روي برنامه هاي كاربردي وب

چگونگي سوءاستفاده از آسيب پذيري ها و اثرات آن در كنار الگوهاي شناخته شده، متأثر از توانمندي مهاجم ها مي باشد. هرچه مهاجم توانمندتر باشد، مخاطره تهديدها و آسيب پذيري ها افزايش پيدا مي كند. بنابراين، تحليل و ارزيابي امنيتي سامانه ها وابسته به توانمندي مهاجم است. علاوه بر اين، اطلاع از سطح توانمندي مهاجم ارتباط مستقيمي با هزينه مورد نياز براي امنيت و بكارگيري كنترل ها و اقدامات امنيتي متناسب با توان مهاجم دارد. بر اين اساس، اين مقاله مدل سازي توانمندي مهاجم را هدف گذاري كرده است. ما در اين مقاله با تكيه بر تزريق پيلودهايي كه مهاجم براي سوءاستفاده از آسيب پذيري هاي تزريق استفاده مي كند، توانمندي مهاجم را با سه گانه ي (Type, Technique, Point_Entry) مدل مي كنيم. مؤلفه ي Type بيانگر نوع تزريق مي باشد كه شامل مجموعه اي شناخته شده از انواع حمله تزريق است كه مهاجم در طول حمله به كار برده است. مؤلفه ي Technique بيانگر تكنيك هايي است كه مهاجم در طول حمله به كار برده است، و مؤلفه ي Point_Entry نشان دهنده ي مجموعه اي از نقاط شناخته شده تزريق پيلود است. از اين مدل هم براي سطح بندي و مقايسه توانمندي مهاجم و هم براي سطح بندي امنيت يك سامانه با توجه به سطح توان مهاجمي كه مي تواند امنيت آن را به خطر بياندازد استفاده مي شود. نتايج ارزيابي تجربي انجام شده نشان مي دهد كه مدل ارائه شده براي تعيين سطح توانمنديِ مهاجم قابل استفاده است. با اين كه مدل ارائه شده با تمركز بر حملات تزريق SQL است، اما قابل توسعه به بسياري از حملات ديگر مي باشد.