بخشی از مقاله
خلاصه
هدایت کاربر به مسیرهای ناخواسته با استفاده از آسیبپذیری هدایتگر باز، یکی از حملاتی است که کاربر را از بازدید صفحه مورد انتظارش به انحراف میکشاند. نمونهی آن تغییر مسیر کاربران به سایتهایی شبیه سایت بانک و سرقت اطلاعات حساب آنها به نام حملهی فیشینگ شهرت دارد، منشأ این نوع حملات، در اعتبارسنجیهای ناقص در فیلدهای ورود اطلاعات برنامههای وب هستند.
حجم انبوهی از حملات هدایت کاربر به مسیرهای ناخواسته از طریق URL انجام میشوداز آنجایی که وجود آسیبپذیریها دریچه ورود مهاجمین به سیستمهای کاربردی وب هستند، کشف و شناسایی آسیبپذیریها مبداء اصلی حملات سایبری و همچنین ایمن سازی سیستمهای کاربردی وب هستند. با استفاده از داده کاوی بر روی انبوهی از حملات انجام شده از نوع هدایت کاربر به مسیر ناخواسته و تغیین احتمالات نقاط پرتکرار استفاده شده در حملات، میتوان محل آسیبپذیر در URL را تشخیص داد.
این در حالیست که فازرهای موجود به دلیل استفاده از فازینگ جهت تشخیص نقاط آسیبپذیر، با مشکل تعداد تکرار آزمون و مسدود شدن توسط فایروالها مواجه هستند، روش ارائه شده از این مشکل بر حذر است و میتواند با دقت 89 درصد نقاط محتمل وجود آسیب را تشخیص دهد.
.1 مقدمه
وجود آسیبپذیریها دریچه ورود مهاجمین به سیستمهای کاربردی وب هستند، کشف و شناسایی آسیبپذیریها، مبداء اصلی حمﻻت سایبری و همچنین ایمن سازی سیستمهای کاربردی وب هستند، بر اساس گزارشهایOWASP[1][2] آسیبپذیری »هدایت کاربر به مسیر ناخواسته« جزو 10 آسیبپذیریشاخص در حوزهی آسیبپذیریها شناخته میشود. منشأ حملات سایبری ناشی از آسیبپذیری »هدایت کاربر به مسیرهای ناخواسته«، در اعتبارسنجیهای ناقص در فیلدهای ورود اطلاعات برنامههای وب هستند ، چنین تغییر مسیرهایی ممکن است اقدام به نصب بدافزارها و یا فریب قربانیان به افشای رمزهای عبور و یا دیگر اطلاعات حساس کنند. یکی از نقاط ورود اطلاعات به برنامههای وبی، URL است. درصد بالایی از حملهی مذکور از طریق متد GET که پارامترهای آن در URL مشخص میشود، انجام میشود.
با توجه به رشد 197درصدی][3 سایتهای فیشینگ درنیمه سال 2015 نسبت به زمان مشابه در سال ][42014، تشخیص آسیبپذیری »هدایت کاربر به مسیر ناخواسته« و مصون سازی نرمافزار وبی این اطمینان را میدهد که این نرمافزار هیچگاه طعمه مهاجمان برای نصب بدافزارها روی کامپیوترهای کاربران آن نرمافزار یا فریب آن کاربران به افشای رمزهای عبور و یا دیگر اطلاعات حساس نخواهد بود. در راستای تشخیص این آسیبپذیری تلاشهایی صورت گرفته که غالبا از روشهای اکتشافی، برای تشخیص بهرهبردهاند][5، این روشها اگرچه در مواردی تشخیص درستی را در پی دارند ولیکن از دو جهت مناسب نیستند، اول آنکه نرخ اتهام غلط* این روشها بالاست و دوم آنکه جهت تشخیص از روشهای فازینگ بهره میبرند که در محیطهای عملیاتی با مشکل مسدود شدن از جانب دیوارههای آتش روبهرو هستند.
در روش ارائه شده هیچگونه عملیات فازینگی بر روی هدف انجام نمیگیرد فلذا نگرانی از جهت مسدود شدن وجود ندارد، همچنین در این روش با بررسی نقاط ورود در URL و کنترل کردن این نقاط با نقاط به دست آمده از تحلیل بر روی حملات انجام شده، احتمال وجود آسیبپذیری در نقاط ورودی URL را میتوان استخراج کرد تا حتی اگر جهت عملیات فازینگ به دنبال انتخاب نقطهی ورود بودیم، انتخاب ما هوشمندانه باشد و نگرانی از جهت مسدود شدن را به حداقل برسانیم.
برای اینکار با پالایش حجم انبوه حملات انجام شده از طریق URL، الگوهای PATH و PARAM را استخراج و با محاسبهی میزان فراوانی هر کدام، احتمال آسیبپذیر بودن URL را بر اساس احتمال عناصر تشکیل دهندهی آن محاسبه میکنیم.
در ادامه در قسمت 2 کارهای انجام شده در زمینهی تشخیص این آسیبپذیری آورده شده است، در قسمت 3، طرح پیشنهادی از مرحلهی جمعاوری دادهها تا مرحلهی دادهکاوی بر روی خصیصههای استخراج شده، آورده شده است. سپس در قسمتِ4 ،جهت ارزیابی کار انجام شده، مدل پیشنهادی بر روی مجموعه ای از دادههای پاک و آلوده تست شده است. در قسمت 5 و 6 نیز نتیجهی کار و کارهایی که در آینده میتوان انجام داد آمده است.
2. پیشینهی تحقیق
در سال 2007 آقای Fette و همکارانش][6 در راستای تشخیص ایمیلهای فیشینگ، ایمیلها را دستهبندی کردند و متناسب با هر کدام راهکاری را پیشنهاد کردند، ایشان در مواردی که یک ایمیل حاوی یک URL بود، جهت تشخیص اینکه آن URL مشکوک به هدایت کاربر به مسیر ناخواسته هست یا خیر، به تعداد « . »ها در آن URL توجه کردند، چرا که یکی از راههای مهاجمین برای هدایت به مسیر ناخواسته کاربر ثبت دامنههایی نظیر دامنهی هدف هست. دور زدن این تشخیص با تغییر دامنه به IP آن و تبدیل IP به عدد دهدهی به راحتی امکان پذیر است و نمیتواند روش تشخیص درستی باشد.
در سال 2008 آقای Shue و همکارانش][5روشی را مطرح کردند که از روشهای اکتشافی برای تشخیص وجود هدایتِکاربر در URL و همچنین تشخیص بازبودن یا نبودن آن استفاده میکند. برای تشخیص اینکه از هدایتِکاربر استفاده شدهاست، در قسمت Query String یک لینک، وجود پیشوندهای HTTP و HTTPS را نشانی از Redirect درURL به حساب میآورند. ولی به دلیل ترکیبهای بیشماری که یک URL میتواند داشته باشد، ممکن است وجود پیشوندّهای گفته شده درحقیقت، هدایتِکاربر نباشند؛ Shue برای آزمایش این مورد، از کتابخانهای از زبان perl استفاده کرد که یک زنجیر هدایتِکاربر را پیگیری میکند و اگر URL نهایی از URL ابتدایی متفاوت باشد، آن URL را دردسته هدایتِکاربر به حساب میآورد و در مرحلهی بعدی، با بررسی دقیقتر، به دنبال باز یا غیرباز بودن این هدایتِکاربر میرود.
Shueبرای آزمایش باز بودن هدایتِکاربر، ابتدا قسمتی از Query String را که با یکی از پیشوندها آغاز میشود را با آدرس دلخواه جایگزین میکند و به وسیله همان کتابخانهی perl، کنترل میکند که آیا URL نهایی، همان URLی است که در Query String آوردهشد یا خیر!
این روش اگر چه تا حدی میتواند درست باشد ولیکن کدگزاریهای دوگانه و چندگانه را در نظر نمیگیرد، در حالی که مهاجم میتواند از کدهای هگزادسیمال همین عبارات HTTP و HTTPS استفاده کند.
JingWang[7]در سال 2015 از نتایج کار Shue استفاده کرد و آنرا توسعه داد. کار Wang به این صورت است که در یک دستهبندی URLها را به چهار دسته تقسیم میکند و درواقع جهت توسعهی کار Shue، جزئیات بیشتری را بررسی میکند.طبق دستهبندیWang، Shue در واقع فقط URLهایی با چندین پیشوند HTTP - یک پیشوند در قسمت URL و یک پیشوند در قسمت - Query String را در نظر میگیرد ولی Wang علاوه بر این، به بررسی سه دستهی دیگر از هدایتهایِکاربر نیز میپردازد؛ یک دسته، دستهای است که اگرچه یک پیشوند HTTP - در قسمت - URL دارند، ولی در آنها هدایتِکاربر وجود دارد؛ دستهی دیگر هدایتهایی از نوع لاگین و ثبتنام هست که در کار Wang به حساب آمدهاست، بدیهی استاین نوع از هدایتِکاربر تنها در هنگام ورود موفقیتآمیز کاربر و یا ثبتنام کاربر رخ میدهد؛ در دستهی دیگر URLهایی که جداکنندههای پارامترها در قسمت Query String در آنها، غیر از علامت& است را نیز به حساب آوردهاست.
در هدایتهایی که به صورت آبشاری انجام میشود، امکان دارد الزاماً آن URLی که در Query String آمدهاست، مقصد نهایی Redirect نباشد. این مورد از مواردی است که کارهای Shue و Wang هیچ توجهی به آن نداشته اند.
.3 طرح پیشنهادی
تشخیص آسیبپذیری با پژوهشهای انجام شده تا کنون، دو مشکل عمده دارند، اول نرخ اتهام غلط بالا و دوم مسدود شدن توسط دیوارههای آتش، پس در مرحلهی اول طرح پیشنهادی لازم است که وابستگی به تجهیزات امنیتی نظیر دیوارههای آتش حداقل شود و ثانیا در صورت نیاز به عملیات فازینگ پیشنهاد شده در کارهای قبل، بتوان نقطه ورودی را به صورت هوشمندانه جهت اعمال الگوی حمله بر روی URL هدف، انتخاب کرد.
با گسترش استفاده از وب اپلیکیشنها، بر تعداد آسیبپذیریها نیز افزوده شده است؛ استفاده از دادههای تولید شده در محیط جهت استخراج الگو از آن امری است که چند سالی است رونق زیادی در علوم مختلف پیدا کرده است][8، استفاده از این دانش در تشخیص الگوی آسیبپذیریها نیز میتواند کارا باشد، از این رو آسیبپذیریهای کشف شده به عنوان دادهی خام به جهت استخراج الگوی آسیبپذیریها جمع آوری میشوند در ادامه از تکنیک خوشهبندی به عنوان یک روش یادگیری بدون ناظر دادهها به دستههایی که از نظر پارامترهای مورد علاقه شباهت بیشتری به یکدیگر دارند تقسیم می گردند.
