ارایه رویکردی برای مقابله با حملات تسریق دستور سیستم عامل (OS Command Injection)

داده ها از سرمایه های اصلی هر سازمان است که روز به روز بر حجم و میزان استفاده از آن افزوده می شود. این داده ها در سازمان ها نقش اساسی ایفا می کنند و مبنای تصمیم گیری های استراتژیک و مدیریتی هستند. با گسترش روزافزون استفاده سازمان ها از اینترنت و رشد اطلاعات بر روی آن در امور روزانه و تصمیم گیری های سازمانی، نقش امنیت اطلاعات و داده ها اهمیت بیشتری یافته است. یکی از موارد مهمی که امنیت اطلاعات را به مخاطره می اندازد و دریچه نقوذ به سیستم عامل سرور است، تزریق دستور سیستم عامل در برنامه های کاربردی و تحت وب است. تزریق دستور یک روش حمله است که یک هکر بصورت دینامیک محتوای ثبت شده روی یک صفحه وب/برنامه کاربردی را بوسیله وارد کردن کد مخرب در یک مکانیزم ورودی، مانند یک فیلد فرم که فاقد محدودیتهای اعتبار سنجی موثر است، تغییر میدهد. حمله معمولا به علت مدیریت ضعیف در اعتبارسنجی کدها و یا ورودی های برنامه (وب سایت) اتفاق می افتد. حمله تزریق دستور زمانی رخ می دهد که در برنامه کاربردی/وب سایت مخرب دستورات تزریق شده با امتیازاتی اجرا می شوند. در اینصورت پسورد کاربران یا داده های حساس دیگر می توانند در خروجی نمایش داده شوند، فایل ها یا رکوردهای پایگاه داده می توانند دستکاری یا حتی حذف شوند. سرویس ها می توانند متوقف یا آغاز شوند. در این پایان نامه ما به معرفی و بررسی این نوع حملات و بیان انواع آن می پردازیم و روش های مختلف مقابله با آن را معرفی می کنیم و در نهایت متدی جدید جهت مقابله با این نوع حملات را ارایه می نماییم که به راحتی بتوان آن را در هر برنامه کاربردی پیاده سازی نمود تا هر توسعه دهنده ای با هر سطح اطلاعاتی بتواند آن را به کار گیرد.