Saytlar va portallarni mantiqiy hujumlardan himoyalovchi dasturiy ta‘minot modulini ishlab chiqish
Download 276.5 Kb.
|
Sayfiddin
- Bu sahifa navigatsiya:
- Ruxsatsiz kirishga testlash metodlari
- Kirish ma’lumotlari«No’malum veb-ilova» Chiqish ma’lumotlari.
- Veb-ilovalar zaifliklarini qidiruv tizimlari yordamida aniqlash
- Standart qidiruv tizimlaridan tashqari spesifik qidiruv servislari mavjud.
- ZAIFLIKLARNI TAXLIL QILISH VOSITALARI
Saytlar va portallarni mantiqiy hujumlardan himoyalovchi dasturiy ta‘minot modulini ishlab chiqish Veb ilovalarda qayta ishlanadigan axborot xajmi juda katta. Veb serverda foydalanuvchilarni shaxsiy ma’lumotlari (mijoz va xodimlarni) va tijorat yoki xizmat siriga tegishli bo‘lgan ma’lumot saqlanishi mumkin. (masalan moliyaviy ma’lumotlar yoki xizmat bo‘yicha yozishmalar). Saytni komprometatsiya qilinishi natijasida birinchi navbatda moliyaviy zararga, mijozlarning ishonchini kamayishiga, hamda obro‘sizlantirishiga olib keladi. Shuning uchun veb saytning xavfsizligini ta’minlash va himoyalash zarurati dolzarb bo‘ladi. Keltirilgan statistik ma’lumotlardan xulosa qilib shuni aytish mumkinki, veb ilovalarni ishlab chiqaruvchilari va administratorlari ko‘pincha xavfsizlik talablariga e’tibor bermaydilar, asosiy maqsadi funksionalligini oshirish. Ilovaning funksional imkoniyatlari qanchalik ko‘p bo‘lsa dastur kodi shunchalik murakab bo‘ladi. Buning natijasida ko‘pgina tizimlar zaifliklarga moyil bo‘ladi.
Testlashning asosiy vazifasi veb ilovani strukturasini aniqlash va taxlil qilish, ruxsatni boshqarish tizimi kamchiliklarini va himoyalanayotgan resursning zaifliklarini aniqlashdan iborat. Testlash turli metodikalar yordamida amalga oshirilib, quyilayotgan maqsadlarga bog‘liq bo‘ladi. Bunday metodikalarga “qora quti” (ingliz adabiyotida – BlackBox), oq quti (WhiteBox) va sariq quti (GreyBox) deb ataladi. Testlash bir nechta bosqichda amalga oshiriladi: Axborotni to‘plash, to‘plangan axborotni tahlili qilish va xujumni amalga oshirish. Axborotni yig‘ishni ko‘pincha ikki turga bo‘linadi aktiv va passiv. Aktiv turiga foydalanuvchi so‘rovlarini veb ilovaga shakllantirish va qayta ishlashni nazarda tutadi («korrekt» va «korrekt bo‘lmagan»). Passiv usulda axborotni to‘plash deganda veb ilova bo‘yicha umumiy xarakterdagi turli xildagi ma’lumot tushuniladi, ya’ni IP-adres, cookie fayli, internet-tegi yoki navigatsii bo‘yicha ma’lumotlar. Bunday axborotlarni to‘plashning asosiy farqi shundaki passiv metod yordamida to‘plangan ma’lumot ruyxatga olinmaydi, aktiv usulda to‘plangan axborot kirishni ro‘yxatga olish tizimi tomonidan jurnalda ro‘yxatga olinadi va veb ilova administratori tomonidan tahlil qilinishi mumkin. «Qora quti», yoki BlackBox, - veb ilovaning strukturasi va ishlash mexanizmi no’malum bo‘lganda amalga oshiriladigan testlash usuli. Bunda veb-ilova quyidagi sxema bo‘yicha o‘rganiladi: Kirish ma’lumotlari«No’malum veb-ilova» Chiqish ma’lumotlari. Kirish ma’lumotlarini boshqarish maxsus simvollar, keng qamrovli so‘rovlar va boshqalar yordamida amalga oshiriladi. «Oq quti», yoki WhiteBox usulida, tekshiruvchi veb ilovaga tegishli bo‘lgan hamma ma’lumotga ega. Bunday ma’lumotga tarmoq kartasi, strukturasi va dastlabki kod, serverga administrator vakolatlari bilan kira oladi. Bu usulda mumkin bo‘lgan zaifliklarni mukammal tadqiq qilish imkonini beradi. Shuning bilan birga kamchilikka ega ya’ni real vaziyatga yaqin emas. Bo‘lishi mumkin bo‘lgan taxdidni testlash yordamida ruxsatsiz kirishni aniqlash mumkin, misol tariqasida SQL-in’eksiya keltirish mumkin. Zaiflikning asosiy maqsadi shundan iboratki, veb ilova ma’lumotlar bazasiga so‘rovni shakllantirish jarayonida SQL-kodni kiritish. Bunday xujumni amalga oshirish imkonini paydo bo‘lishini sababi, kirish ma’lumotlarini qayta ishlashda tekshirilmasligi va buzg‘unchi tomonidan ruxsat etilmagan axborotga egalik qilish imkonini beradi. Veb-ilovalar zaifliklarini qidiruv tizimlari yordamida aniqlash Axborot texnologiyalarning yuqori templar bilan tadbiq etilishi qidiruv tizimlarining funksional imkoniyatlarini kengaytirmoqda. Bugungi kunda qidiruv veb xizmatlari na faqat hamma uchun ochiq bo‘lgan ma’lumotlarni balki yopiq bo‘lgan saxifalarni va fayllarni topish imkonini beradi. Kraulerlar (qidiruv robotlari) na faqat veb ilovalarni, shuning bilan birga tarmoqda ruxsat berilgan kontentni ham indekslaydi. Shunday qilib to‘g‘ri qidiruv so‘rovini tashkil etib, buzg‘unchi veb serverda yopiq bo‘lgan ma’lumotni topishi mumkin. Standart qidiruv tizimlaridan tashqari spesifik qidiruv servislari mavjud. Shodan qidiruv tizimi veb sarlavha va fayllarni qidiruvini amalga oshirmaydi, turli qurilmalarni qidirib topadi: veb-kamera, avtomobil, konditsionerlash tizimlari va xonalardagi yoritish tizimlarini. Qidiruv tizimi har minutda Internetga bog‘langan xufyona kanallar bilan ishlab, tarmoqqa ulangan 500 mlndan ortiq qurilmalarni aniqlaydi. Shodan tizimining ishlash prinsipi tarmoqqa ulangan qurilmalarni avtomatik javoblarini kataloglashtirishdan iborat. Bu javoblarda ushbu qurilma to‘g‘risidagi ko‘pgina ma’lumotlar saqlanadi. Uning funksiyasi va sozlanmalari to‘g‘risida. Shodan maxsus portlarni skanerlash orqali avtomatik tarzda veb serverlardan axborotlarni yig‘adi. (port 80), ma’lumotlarni FTP (port 23), SSH (port 22) va Telnet (port 21). Agar konkret sayt qanday veb-servislardan va texnologiyalardan foydalanayotganini, qaysi veb serverda ishlayotganini aniqlansa, unda «xavfsizlik byulletenlari» yordamida zaiflikni aniqlash mumkin. G‘arazli niyatlarda bunday axborotlardan foydalanish fingerprinting deb ataladi.Bunday hollarda yuzaga keladigan zaiflik «ilovani identifikatsiyalash» deb ataladi. (WebServer/ApplicationFingerprinting). ZAIFLIKLARNI TAXLIL QILISH VOSITALARI Zaifliklarni aniqlash bilan himoyalanganlikni taxlil qilish tizimlari – xavfsizlik skanerlari yoki zaifliklarni qidirish tizimlari shug‘ullanadi. Ular berilgan tizimlarda zaiflikni aniqlash uchun har tomonlama tadqiq etishni ta’minlaydi. Ular xavsizlik siyosatini buzilishiga sabab bo‘ladi. Taxlil qilish vositalari yordamida olingan natijalar ushbu holatdagi himoyalanganlikni baholaydi. Ushbu tizimlar xujumni sodir etilishi jarayonida aniqlay olmasada, sodir etilishi mumkin bo‘lgan xujumlarni aniqlashi mumkin. Download 276.5 Kb. Do'stlaringiz bilan baham: |
ma'muriyatiga murojaat qiling