숙제 학생: Isakov Shohrux


Download 1.21 Mb.
Sana17.06.2023
Hajmi1.21 Mb.
#1525979
Bog'liq
Taqdimot 2

숙제

학생: Isakov Shohrux 

ID: 2122141112

과목: XSS and SQL Injection

Date:  2023 년 4월 27일

XSS va SQL Injection nima ? XSS 및 SQL 주입이란 무엇입니까?

XSS Saytlararo skript bu tajovuzkorga veb-sahifaga zararli kodni kiritish imkonini beruvchi xavfsizlik zaifligining bir turi. Keyinchalik bu zararli kod jabrlanuvchining brauzeri tomonidan amalga oshirilishi mumkin, bu tajovuzkorga cookie-fayllar, seans tokenlari yoki boshqa nozik ma'lumotlarni o'g'irlash imkonini beradi.

XSS Saytlararo skript bu tajovuzkorga veb-sahifaga zararli kodni kiritish imkonini beruvchi xavfsizlik zaifligining bir turi. Keyinchalik bu zararli kod jabrlanuvchining brauzeri tomonidan amalga oshirilishi mumkin, bu tajovuzkorga cookie-fayllar, seans tokenlari yoki boshqa nozik ma'lumotlarni o'g'irlash imkonini beradi.

Bu atakalar boshqa saytlardan yoki foydalanuvchilarning kiritishiga imkon beradigan shakllar yordamida ma'lumotlar yuborish yoki sayt foydalanuvchilari bilan o'zaro almashish uchun xizmat ko'rsatuvchi saytlarda bajariladi. Bu atakalar yordamida hujjatlar yoki saytlar brauzerda yoritiladigan skriptlar yordamida foydalanuvchilarning shaxsiy ma'lumotlarini va sirlarini yuborish, foydalanuvchilarga yolg'on ma'lumotlar ko'rsatish yoki foydalanuvchilarning brauzerini boshqa saytlarga o'tkazish mumkin.

Bu atakalar boshqa saytlardan yoki foydalanuvchilarning kiritishiga imkon beradigan shakllar yordamida ma'lumotlar yuborish yoki sayt foydalanuvchilari bilan o'zaro almashish uchun xizmat ko'rsatuvchi saytlarda bajariladi. Bu atakalar yordamida hujjatlar yoki saytlar brauzerda yoritiladigan skriptlar yordamida foydalanuvchilarning shaxsiy ma'lumotlarini va sirlarini yuborish, foydalanuvchilarga yolg'on ma'lumotlar ko'rsatish yoki foydalanuvchilarning brauzerini boshqa saytlarga o'tkazish mumkin.


XSS hujumlaridan himoyalanish
    • Barcha foydalanuvchi ma'lumotlarini tasdiqlang. Bu foydalanuvchidan keladigan barcha ma'lumotlarni potentsial zararli deb hisoblash va ularni mos ravishda filtrlash demakdir. Misol uchun, agar foydalanuvchi o'z nomini formaga kiritsa, siz ular HTML teglari yoki boshqa zararli kodlarni kirita olmasligiga ishonch hosil qilishingiz kerak.
    • Barcha chiqishlarni kodlash. Bu foydalanuvchi tomonidan boshqariladigan barcha ma'lumotlarni veb-sahifada ko'rsatishdan oldin xavfsiz formatga aylantirishni anglatadi. Misol uchun, agar siz foydalanuvchi nomini ko'rsatayotgan bo'lsangiz, uni HTML sifatida talqin qilib bo'lmasligi uchun uni HTML ob'ektlari yordamida kodlashingiz kerak.
    • Kontent xavfsizligi siyosatidan (CSP) foydalaning. CSP - bu brauzerga ma'lum bir veb-saytdan qanday resurslarni yuklashga ruxsat berilganligini ko'rsatadigan qoidalar to'plami. Bu brauzerga boshqa veb-saytlardan zararli skriptlarni yuklashning oldini olish orqali XSS hujumlarining oldini olishga yordam beradi.

SQL Injection bu, dasturlash tili yordamida veb-saytlarning ma'lumotlar bazasiga amalga oshirilgan so'rovlar yordamida o'rnatishgan hakerlik hujumi. Bu ataka yordamida

SQL Injection bu, dasturlash tili yordamida veb-saytlarning ma'lumotlar bazasiga amalga oshirilgan so'rovlar yordamida o'rnatishgan hakerlik hujumi. Bu ataka yordamida

 hakerlar, saytlarda ishlatiladigan veb-formalar yoki URL-larga kiritilgan ma'lumotlar orqali ma'lumotlar bazasiga hujum qilish

 SQL Injection hujumlari qanday amalga oshiriladi

 SQL Injection hujumlari qanday amalga oshiriladi

  • Foydalanuvchilarning kiritgan ma'lumotlar yordamida so'rov yaratish
  • Hakerlar, web-saytga yuborilayotgan ma'lumotlar yordamida SQL injeksiyasi amalga oshirishadi. Masalan, foydalanuvchi login formasiga kiritilgan ma'lumotlarning SQL injeksiyasi yordamida tekshirilishi mumkin.

  • URL-larga kiritilgan ma'lumotlar orqali
  • Hakerlar, URL-larga kiritilgan ma'lumotlar orqali SQL so'rovlari yaratishadi. Bu ma'lumotlar, sayt yoki dastur tizimidan so'rov amalga oshirish uchun ishlatiladi.

  • Malumotlar bazasi tablolarining nomlari yordamida
  • Hakerlar, malumotlar bazasi tablolarining nomlarini bilib, ular yordamida SQL so'rovlari yaratishadi. Shuning uchun, sayt yoki dastur tizimida malumotlar bazasining nomini o'zgartirish va xorijiy kalit so'zlar qo'shish kuzatilishi kerak.

  • Foydalanuvchi interfeysi orqali
  • Hakerlar, foydalanuvchi interfeysi orqali SQL so'rovlari yaratishadi. Bu maqsadda, foydalanuvchilarning kiritish huquqiga ega bo'lgan maydonlarda SQL injeksiyasi amalga oshirishadi.


Download 1.21 Mb.

Do'stlaringiz bilan baham:




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling