Ilova sathi hujimlari va risklari
Download 449.89 Kb.
|
mustaqil ish tarmoq (3)
- Bu sahifa navigatsiya:
- Tarmoq ulanishining turli komponentlariga qaratilgan DDoS hujumlarining bir nechta turlari mavjud bolib, ular odatda uchta toifaga bolingan: amaliy qatlam, protokol va hajmli hujumlar
- Bazi hollarda xakker asosiy server yoki boshqa infratuzilmani buzish uchun SQL inektsion hujumini kuchaytirishi yoki xizmat korsatishni rad etish hujumini amalga oshirishi mumkin.
Ilova sathi hujimlari va risklariRabbonayev JavoxirReja:Reja:
Ilovam sathi TCP/IP modelining eng yuqori qatlami bo'lib, u tarmoq ilovalari va xizmatlariga kirishni ta'minlash uchun javobgardir. Hujumchilar ushbu qatlamni ilovalar yoki tarmoq xizmatlaridagi zaifliklardan foydalanish uchun mo'ljallangan dastur qatlami hujumlarini qilishi mumkin. Ushbu hujumlar ma'lumotlarni o'g'irlash, maxfiylik buzilishi va tizimning buzilishiga olib kelishi mumkin1.DDoS hujumlariDDoS hujumlari:"Xizmatni taqsimlashdan bosh tortish" hujumi - bu kiberjinoyatning bir turi bo'lib, unda tahdid qiluvchilar qasddan veb-sayt yoki ilovani foydalanuvchilar uchun mavjud bo'lmagan holga keltirishga harakat qiladi. Noqonuniy trafik bilan serverni to'ldirish uchun turli xil DDoS hujumlari mavjud, bu esa onlayn xizmatni vaqtincha yoki doimiy ravishda o'chirib qo'yishiga olib keladi.U bot deb nomlangan zararli dasturlardan qurilmalardan foydalanadi va botlar klasteri botnet deb ataladi. Kiberaktorlar ulardan egasining ruxsati, xabardorligi va roziligisiz tizimni buzish uchun foydalanadilar.U bot deb nomlangan zararli dasturlardan qurilmalardan foydalanadi va botlar klasteri botnet deb ataladi. Kiberaktorlar ulardan egasining ruxsati, xabardorligi va roziligisiz tizimni buzish uchun foydalanadilar.Tarmoq ulanishining turli komponentlariga qaratilgan DDoS hujumlarining bir nechta turlari mavjud bo'lib, ular odatda uchta toifaga bo'lingan: amaliy qatlam, protokol va hajmli hujumlarCross-Site Scripting (XSS) attacksCross-Site Scripting (XSS) attacksSaytlararo skript (XSS) hujumlari zararli skriptlar boshqa zararsiz va ishonchli veb-saytlarga kiritiladigan inyeksiya turidir. XSS hujumlari tajovuzkor veb-ilovadan zararli kodni, odatda, brauzer tomoni skripti shaklida boshqa oxirgi foydalanuvchiga yuborish uchun foydalanganda sodir bo'ladi. Ushbu hujumlarning muvaffaqiyatli bo'lishiga imkon beruvchi kamchiliklar juda keng tarqalgan va veb-ilova uni tasdiqlamasdan yoki kodlamasdan ishlab chiqaradigan chiqishda foydalanuvchi tomonidan kiritilgan ma'lumotlardan foydalanadigan har qanday joyda sodir bo'ladi.Buzg'unchi XSS-dan shubhali foydalanuvchiga zararli skript yuborishi mumkin. Yakuniy foydalanuvchi brauzeri skriptga ishonmaslik kerakligini bilishning imkoni yo'q va skriptni bajaradi. Skript ishonchli manbadan kelgan deb hisoblaganligi sababli, zararli skript brauzerda saqlanadigan va ushbu sayt bilan foydalaniladigan har qanday cookie-fayllar, seans tokenlari yoki boshqa maxfiy ma'lumotlarga kirishi mumkin. Ushbu skriptlar hatto HTML sahifasining mazmunini qayta yozishi mumkinSQL Injection AttacksSQL injection (SQLi) - bu xakkerga dastur o'z ma'lumotlar bazasiga yuboradigan so'rovlarga aralashish imkonini beruvchi veb-xavfsizlik zaifligi. Bu odatda tajovuzkorga odatda olish imkoni bo'lmagan ma'lumotlarni ko'rish imkonini beradi. Bu boshqa foydalanuvchilarga tegishli ma'lumotlar yoki ilovaning o'zi kirishi mumkin bo'lgan boshqa ma'lumotlarni o'z ichiga olishi mumkin. Ko'p hollarda tajovuzkor ushbu ma'lumotlarni o'zgartirishi yoki o'chirib tashlashi mumkin, bu esa ilova mazmuni yoki xatti-harakatlarida doimiy o'zgarishlarga olib keladi.Ba'zi hollarda xakker asosiy server yoki boshqa infratuzilmani buzish uchun SQL in'ektsion hujumini kuchaytirishi yoki xizmat ko'rsatishni rad etish hujumini amalga oshirishi mumkin.Man-in-the-Middle (MITM) AttackO'rtadagi odam (MITM) hujumi - bu kiberhujum bo'lib, unda tahdid ishtirokchisi o'zini ikki tomon, odatda foydalanuvchi va dastur o'rtasiga qo'yib, ularning aloqalari va ma'lumotlar almashinuvini to'xtatib, ulardan zararli maqsadlarda foydalanadi. Jinoyatchi ushbu ma'lumotga ega bo'lgach, ular hisob ma'lumotlarini o'zgartirishi, pul mablag'larini o'g'irlashi yoki ruxsatsiz xaridlarni amalga oshirishi mumkin. O'zining qamrovi tufayli MITM tajovuzkorlari ko'pincha bank xizmatlarini, onlayn chakana sotuvchilarni va xizmat sifatida dasturiy ta'minot (SaaS) platformasi mijozlarini nishonga olishadi.Phishing attackFishing ijtimoiy muhandislik hujumining bir turi bo'lib, ko'pincha foydalanuvchi ma'lumotlarini, jumladan, login ma'lumotlari va kredit karta raqamlarini o'g'irlash uchun ishlatiladi. Bu ishonchli shaxs sifatida niqoblangan tajovuzkor jabrlanuvchini elektron pochta, tezkor xabar yoki matnli xabarni ochib, aldaganida sodir bo'ladi. Keyin qabul qiluvchi zararli havolani bosish uchun aldanib qoladi, bu zararli dasturlarning o'rnatilishiga, to'lov dasturi hujumining bir qismi sifatida tizimni muzlatib qo'yishiga yoki nozik ma'lumotlarning oshkor etilishiga olib kelishi mumkin.Hujum halokatli oqibatlarga olib kelishi mumkin. Jismoniy shaxslar uchun bu ruxsatsiz xaridlar, pul mablag'larini o'g'irlash yoki o'g'irlikni aniqlashni o'z ichiga oladi.Bundan tashqari, fishing ko'pincha korporativ yoki hukumat tarmoqlarida kengroq hujumning bir qismi sifatida, masalan, rivojlangan doimiy tahdid (APT) hodisasi sifatida o'rin egallash uchun ishlatiladi. Ushbu so'nggi stsenariyda xodimlar xavfsizlik perimetrlarini chetlab o'tish, zararli dasturlarni yopiq muhitda tarqatish yoki himoyalangan ma'lumotlarga imtiyozli kirish uchun xavf tug'diradi.Download 449.89 Kb. Do'stlaringiz bilan baham: 
|