«veb dasturlar xavfsizligi»
III.bob Mavjud veb-ilovalarni himoya qilish metodlari
Download 138.13 Kb.
|
Izoh
|
III.bob Mavjud veb-ilovalarni himoya qilish metodlari
Ba'zi mudofaa yangi turdagi agressiv muhit hujumga javob sifatida paydo bo'ladi, boshqalar esa mavjud ilovani himoya qilish zaruratidan kelib chiqqan holda ishlab chiqilgan bo’ladi. Shunday qilib, hujumga qarshi mudofaa odatda turli ilovalar uchun universal tarzda qo'llanilishi uchun mo'ljallangan ilovaga xos himoya vositalari har xil turdagi hujumlarga bardosh berishga intiladi. Ushbu farqga qo'shimcha ravishda, xavfsizlik dizayneri xavfsizlik qanday ishlashi kerakligi haqida ham tasavvurga ega bo'lishi mumkin. Har xil xavfsizlik ishlab chiquvchilari hujumlarning ba'zi sinflari faqat noto'g'ri kiritilgan tekshiruv tufayli muvaffaqiyatli bo'lishiga rozi bo'lishlari mumkin, shuning uchun umumiy toifa taklif etiladi.Himoya "kiritilgan ma'lumotlarni tekshirish". Biroq, xavfsizlikni ishlab chiquvchilar bir xil tushunchaga ega bo'lsa-da, haqiqiy xavfsizlikni amalga oshirish sezilarli darajada farq qilishi mumkin. Misol uchun, himoya tizimining himoyalangan dasturning manba kodi bilan aloqasi asosida himoya usullarini Oq quti va qora quti yondashuvlarga ko'ra guruhlash mumkin.Himoya uchun manba kodiga kirish talab qilinishi mumkin dastlabki tahlil qilish yoki himoyani faqat tashqi mablag'lar yordami bilan amalga oshirish.Oq quti yondashuvlari manba kodini tahlil qilishni o'z ichiga oladi va shuning uchun ma'lum dasturlash tillariga xosdir va asosan skript tillari uchun qo'llaniladi. Aksincha, qora quti yondashuvlari odatda ishlatiladigan dasturlash tiliga bog'liq emas, chunki buning o'rniga ilovaning tashqi harakatlari tahlil qilinadi (masalan, HTTP so'rov/javob juftliklari, ma'lumotlar bazasiga kirish harakatlari va boshqalar). Ushbu ikki yondashuv o'rtasidagi kontseptual farq shundaki manba kodini tahlil qilishda dastur ishlab chiquvchining niyati hisobga olinadi. Biroq, niyatning ba'zi jihatlari tashqi kuzatuv e'tibordan chetda qolishi mumkin. Yana bir keng tarqalgan misol - himoya tizimlarini guruhlash joylashuviga qarab. Teskari proksi-server XSS hujumlaridan himoya qilishi mumkin bo'lsa-da, buzg'unchi SQL in'ektsiya hujumlari kabi ba'zi hujumlar saqlanib qolinadi.aniqlanmagan, chunki zararli harakatlar allaqachon yaratilgan sahifalar proksi-serverga yetib borish vaqtida amalga oshiriladi.Ushbu kamchilikning sababini tahlil qilish proksi-server usullarining samarali ishlashi uchun dasturning barcha chiqish nuqtalarini kuzatish kerak degan xulosaga kelishimizga imkon beradi. Chiqish nuqtalari ma'lumotlar bazasi, tarmoq yoki fayl tizimiga kirishga urinish kabi tashqi resurslar bilan barcha aloqalarni o'z ichiga oladi. Shunga o'xshash cheklash jurnalga asoslangan himoya usullariga nisbatan qo'llaniladi.Ilovalar jurnali fayllarini tahlil qilish. Teskari proksi va xavfsizlik usullarining eng katta afzalligi jurnallarning asosi shundaki, ular turli muhitlarda osongina joylashtirilishi mumkin. Teskari proksi-serverga asoslangan usullarning muhim afzalligi shundaki, proksi-server uzatiladigan ma'lumotlar ustidan ko'proq nazoratga ega. Masalan,bunday proksi-server uzatilgan ma'lumotlarni hujumning oldini olish uchun o'zgartirishi yoki butunlay yo'q qilishi mumkin. Biroq, jurnal monitoringiga asoslangan jurnal faylida mavjud usullar zararli harakat vaqtida hujumni oldini olish uchun juda kech bo'lishi mumkin. Shunday qilib, jurnallarni (jurnallarni) tahlil qilish ko'pincha anomaliyalarni kirishlarni aniqlash uchun ishlatiladi, ularning oldini olish uchun emas. Bo'limning qolgan qismi mavjud usullar bo'yicha tasniflash uchun ishlatiladigan ba'zi umumiy xususiyatlar bo'yicha guruhlangan xavfsizlik masalalariga bag'ishlangan. Nihoyat, joyni tavsiflovchi umumlashtirilgan jadval taqdim etiladi.tavsiya etilgan tasnifda himoya qilish usullarini ko'rib chiqdi. Download 138.13 Kb. Do'stlaringiz bilan baham: 
|