Mavzu: Axborot tizimlaridagi zaifliklar. Reja

Dasturiy zaifliklarni keltirib chiqaradigan dasturlashda yo ‘l qo ‘yiladigan xatolar: Bufer to ‘lishi, XSS, SQL in’eksiya

Bu sahifa navigatsiya:

• Bufer toʽlishi
• XSS (Cross Site Scripting)

Dasturiy zaifliklarni keltirib chiqaradigan dasturlashda yo ‘l qo ‘yiladigan xatolar: Bufer to ‘lishi, XSS, SQL in’eksiya Ma’lum boʽlgan zaifliklarning aksariyati tizim foydalanuvchilari tomonidan kiritiladigan ma’lumotlar bilan notoʽgʽri ishlash oqibatida kelib chiqadi. Agar bu ma’lumotlar dastur ichida ishlatilishidan oldin tekshirilmagan yoki toʽgʽri ishlov berilmagan boʽlsa, ular tizimda kutilmagan xavf-xatarlarni keltirib chiqarishi mumkin. Bunday xavf-xatarlarga bufer toʽlishi, XSS, SQL in’ektsiyasi, Stringni formatlashdagi xatolar va butun sonlarning chegaradan oshib ketishi va shunga oʽxshagan boshqa zaifliklar sabab boʽladi. Bufer toʽlishi. Dasturlashdagi xatolarning katta qismini ma’lumotlarni qayta ishlashdagi qilinadigan xatolar tashkil etadi. Bu xatolik xotira buferi imkoniyatlari ruxsat etilganidan koʽproq ma’lumot kiritishga harakat qilinganida sodir boʽladi. Bu dasturni ishlash jarayonida ma’lumotlar xotira blokidan tashqarida yozilishiga sabab boʽladi. Natijada oʽqish va yozish operatsiyalari bufer chegaralaridan tashqarida oʽtkazilishi mumkin. Bufer toʽlishi tufayli, ruxsat etilmagan foydalanuvchi bu zaiflikdan juda oson foydalanishi mumkin. Ular buning oqibatida zararli kodlarni dasturga kiritishi, maxfiy ma’lumotlarni oʽqishi yoki dasturning boshqaruvini oʽzgartirishlari mumkin boʽladi. Bu xatolik turi C va C++ dasturlash tillarida eng koʽp tarqalgan. XSS (Cross Site Scripting). Odatda bu termin veb ilovalar bilan bogʽliq boʽlib, bunda zararli skriptlar xavfsizligi yaxshi ta’minlanmagan web saytlarga kiritiladi. XSS hujumlari tajovuzkor veb sahifaga zararli kodlarni oddiy foydalanuchi sifatida oʽzining brauzeri orqali jo’natadi. Bunda tajavuzkor zararli kodlarni veb saytning foydalanuvchi ma’lumot kirita oladigan joylari orqali joʽnatadi. Foydalanuchi kiritgan maʽlumotlarni tekshirmasdan yoki kodlamasdan foydalanadigan har qanday web sayt ushbu hujum qurboniga aylanishi mumkin. Agarda hujum muvoffaqiyatli amalga oshiriladigan boʽlsa, zararli skript boshqa foydalanuvchilar ushbu hujumga uchragan saytdan foydalangan vaqtida brauzerida saqlanadigan va ushbu sayt bilan ishlatiladigan har qanday cookie fayllariga, sessiya tokenlariga yoki boshqa maxfiy ma’lumotlarga kira oladi. Bu skriptlar hatto HTML sahifaning mazmunini butunlay oʽzgartirishi yoki qayta yozishi mumkin. Download 29.36 Kb. Do'stlaringiz bilan baham: