سارا مقیمی، محمدعلی هادوی،
دوره ۱۱، شماره ۲ - ( ۱۲-۱۴۰۱ )
چکیده
چگونگی سوءاستفاده از آسیب پذیری ها و اثرات آن در کنار الگوهای شناخته شده، متأثر از توانمندی مهاجم ها می باشد. هرچه مهاجم توانمندتر باشد، مخاطره تهدیدها و آسیب پذیری ها افزایش پیدا می کند. بنابراین، تحلیل و ارزیابی امنیتی سامانه ها وابسته به توانمندی مهاجم است. علاوه بر این، اطلاع از سطح توانمندی مهاجم ارتباط مستقیمی با هزینه مورد نیاز برای امنیت و بکارگیری کنترل ها و اقدامات امنیتی متناسب با توان مهاجم دارد. بر این اساس، این مقاله مدل سازی توانمندی مهاجم را هدف گذاری کرده است. ما در این مقاله با تکیه بر تزریق پیلودهایی که مهاجم برای سوءاستفاده از آسیب پذیری های تزریق استفاده می کند، توانمندی مهاجم را با سه گانه ی (Type, Technique, Point_Entry) مدل می کنیم. مؤلفه ی Type بیانگر نوع تزریق می باشد که شامل مجموعه ای شناخته شده از انواع حمله تزریق است که مهاجم در طول حمله به کار برده است. مؤلفه ی Technique بیانگر تکنیک هایی است که مهاجم در طول حمله به کار برده است، و مؤلفه ی Point_Entry نشان دهنده ی مجموعه ای از نقاط شناخته شده تزریق پیلود است. از این مدل هم برای سطح بندی و مقایسه توانمندی مهاجم و هم برای سطح بندی امنیت یک سامانه با توجه به سطح توان مهاجمی که می تواند امنیت آن را به خطر بیاندازد استفاده می شود. نتایج ارزیابی تجربی انجام شده نشان می دهد که مدل ارائه شده برای تعیین سطح توانمندیِ مهاجم قابل استفاده است. با این که مدل ارائه شده با تمرکز بر حملات تزریق SQL است، اما قابل توسعه به بسیاری از حملات دیگر می باشد.
آقای ناصر زربی، دکتر علی زعیم باشی، دکتر نصور باقری،
دوره ۱۲، شماره ۱ - ( ۶-۱۴۰۲ )
چکیده
در رمزنگاری نشتتاب، هدف طراحی پروتکلهای تبادل کلیدی است که بتواند در برابر حملات نشت مقاومت کند. این پروتکلها با استفاده از یک مدل امنیتی نشتتاب مورد بررسی قرار میگیرند تا مشخص شود که آیا ویژگیهای امنیتی ادعا شده را دارا هستند یا خیر. بررسی ویژگیهای امنیتی بر این تمرکز دارد که چگونه یک مدل امنیتی نشتتاب طی سالها تکاملیافته است تا نیازهای امنیتی فزاینده را برآورده کند و طیف وسیعتری از حملات را پوشش دهد. با مطالعه و بررسی ویژگیهای امنیتی ارائهشده توسط این مدلها، آسیبپذیریهای احتمالی در طراحی پروتکلها میتواند بهطور مؤثری برطرف شود. این مقاله به بررسی انواع مدلهای امنیتی نشتتاب مبتنی بر دو مدل $CK$ و $eCK$ میپردازد و نمونههایی از پروتکلهای امن تبادل کلیدی را که در این مدلها تعریفشدهاند، ارائه میکند. علاوه بر این، ارتباط بین قابلیتهای مهاجمان در این مدلها و انواع طرحهای حمله در دنیای واقعی را مورد بررسی قرار میدهد و با ارائه بینشی در مورد مدلهای مختلف امنیتی نشتتاب، حملات نشتی و توسعه پروتکلهای امن، به پیشرفت دانش در این زمینه کمک میکند.