Turdimatov m
Download 354.24 Kb.
|
BUZISH VA HIMOYALASH OHIRGI MUS TA\'LIM
- Bu sahifa navigatsiya:
- HOSHIMOV A TURDIMATOV M AMALIY ISH № 25
AMALIY ISH № 25 Mavzu: Veb zaifliklarni aniqlash modulidan foydalanish. Ishning maqsadi: Zaifliklarni aniqlash va zaifliklarning asosiy turlari bilan tanishish. Xavfsizlik kamomadi-bu tizimdagi kamchilik bo'lib, uning yaxlitligini buzish va noto'g'ri ishlashga olib kelishi mumkin. Xavfsizlik kamomadi dasturiy xatolar, tizimni loyihalashda qilingan kamchiliklar, ishonchsiz parollar, viruslar va boshqa zararli dasturlarning natijasi bo'lishi mumkin, foydalanuvchi tomonidan kiritilgan ma'lumotlarning etarli darajada tekshirilmasligi, tarjima qilingan kodga o'zboshimchalik bilan buyruqlarni (SQL Injection) kiritish imkonini beradi. SQL Injection-veb-ilovasiga hujumlarga olib keladigan zaifliklar. Tahdidlarning asosiy turlari: 1) xizmatni rad etish 2) xavfsizlik cheklovlarini chetlab o'tish 3) maxfiy ma'lumotlarga kirish 4) ixtiyoriy kodni bajarish. 5) veb-ilovalardagi zaifliklar. Xizmatni rad etish. Xizmatni rad etish hujumlari eng keng tarqalgan. Buning sababi shundaki, ular axborot ob'ektini ishdan chiqarishga emas, balki unga ruxsatsiz kirishning har qanday turini olishga emas. Odatda DoS hujumlari raqobatchilar uchun eng foydali hisoblanadi. Yaqinda Ufa shahrida yirik rus kompaniyalarining veb-saytlariga DoS-hujumlarni uyushtirgan bir guruh xakerlar qo'lga olindi. Xabar qilinishicha, tashkilot administratoriga ICQ orqali xabar yuborildi: "men sizga buyurtma beraman, resursingizni oylik barqaror ish haqi uchun hujumlardan himoya qilish bo'yicha xizmatlarni taklif qilaman, saytning uzluksiz ishlashini kafolatlayman". Eng qiziqarli narsa, DoS hujumi, hatto oliy ma'lumotga ega bo'lmagan bir kishi tomonidan uyushtirildi. Uning sherigi faqat pul mablag'larini naqd qilish bilan shug'ullangan. Xavfsizlik cheklovlarini chetlab o'tish. Ushbu zaiflik masofali buzg'unchiga xavfsizlik cheklovlarini chetlab o'tish, nozik ma'lumotlarga kirish va ixtiyoriy kodni bajarishga imkon beradi. Hacker jurnaliga ko'ra, bunday zaiflikning yorqin namunasi Apple iPhone-da favqulodda qo'ng'iroqlarni amalga oshirishdagi xatolardan kelib chiqadigan zaiflikdir. Zaiflik tufayli tajovuzkorlar parol muhofazasini chetlab o'tib, tasodifiy raqamga qo'ng'iroq qilishdi. Microsoft Internet Explorer-da bir xil zaiflik mavjud . Xavfsizlik kamomadi "joylashuv" va "joylashuv" xususiyatlarini qayta ishlashda kirish ma'lumotlarini tekshirish xatosidan kelib chiqadi.href". Uzoq foydalanuvchi maxsus veb-sahifa orqali ishonchli saytni ochishi va ishonchli sayt xavfsizligi nuqtai nazaridan qurbonning brauzerida o'zboshimchalik bilan skript kodini bajarishi yoki muhim ma'lumotlarga kirishlari mumkin. Maxfiy ma'lumotlarga kirish. Har yili nozik ma'lumotlarni o'g'irlashni maqsad qilgan ko'plab josuslarga qarshi dastur mavjud. Nozik ma'lumotlarga kirishga imkon beruvchi zaifliklar soni juda yuqori. Albatta, bank sektori bunday hujumlardan eng ko'p azob chekmoqda. Shunday qilib, tez-tez banklar va moliya tuzilmalari veb-saytlarida ishlatiladigan JavaScript funktsiyalaridan birining zaifligi asosida, bir nechta yorliqni ochganda, zaiflik har qanday yorliqda ochilgan har qanday stsenariyga boshqa yorliqlarda ochilgan saytlarning mazmuni haqida ma'lumot olish imkonini beradi. Shunday qilib, agar foydalanuvchi bir tabda bank saytini ochsa, ikkinchisida zararli sayt bo'lsa, unda zararli sayt skripti, bank portalini aniqlab, bank saytining dizayniga o'xshash pop-upni ko'rsatishi mumkin, foydalanuvchi ro'yxatga olish ma'lumotlarini kiritish talabi bilan. Agar foydalanuvchi baliq ovlagichini ushlab tursa, tajovuzkorlar bankdagi hisobiga kirishlari mumkin. Biroq, bunday murakkab hujumlar bilan bir qatorda, ishlab chiquvchilar va ma'murlarning oddiy tekshiruvlari tufayli ishlab chiqarilgan hujumlar mavjud. Nozik ma'lumotlarga olib keladigan eng keng tarqalgan xatolar ma'lumotlar bazasi fayllariga kirish huquqini noto'g'ri o'rnatish orqali yuzaga keladi. Tasodifiy kodni bajarish. O'zboshimchalik bilan kodni bajarishga olib keladigan zaifliklar eng keng tarqalgan. Ushbu zaiflikning misoli opera brauzerida o'zboshimchalik bilan kodni bajarish bo'lishi mumkin. Xavfsizlik kamomadi hujumchilar tomonidan qurbonlik tizimini to'liq nazorat qilish uchun ishlatilishi mumkin. Kontent-uzunlik sarlavhasi http ishlov berish xatosi tufayli zaiflik mavjud. Tajovuzkor foydalanuvchini maxsus tashkil etilgan saytga jalb qilishi, brauzerni maxsus shakllangan HTTP sarlavhasini yuborishi va brauzerni tugatish yoki tizimda Opera brauzerini ishga tushirgan foydalanuvchi imtiyozlari bilan o'zboshimchalik bilan kodni bajarishi mumkin. Bunga yo'l qo'ymaslik uchun Opera bilan noma'lum saytlarga bormaslik va tizimda kam imtiyozli brauzerni ishga tushirish tavsiya etiladi (masalan, mehmon hisobining imtiyozlari bilan). Veb-ilovalardagi zaifliklar. Veb-ilovalarga hujumlarga olib keladigan zaifliklar ham keng tarqalgan. Eng keng tarqalgan SQL in'ektsiyasi. Brauzerlarning zaifligi. Birinchidan, brauzer ta'rifini beramiz. Brauzer-veb-saytlarni ko'rish, ularni qayta ishlash, chiqish va bir sahifadan ikkinchisiga o'tish uchun dasturiy ta'minot. Brauzerlarning uzoq vaqt davomida mukammal emasligi, shuningdek, eng maqbul variantni tanlash qiyin. Brauzerlarning qaysi biri yaxshiroq yoki yomonroq ekanini aytish qiyin. Taqqoslash uchun, Mozilla o'tgan yil mobaynida 115 zaifliklari, Microsoft – 31, Opera – 30 haqida xabar berdi. Mozilla boshqa barcha zaifliklardan ko'ra ko'proq zaifliklarga ega. Ammo, batafsil ko'rib chiqilganda, Mozilla eng xavfli zaifliklarga ega. 2009da Microsoft ikkita zaiflikni yuqori yoki o'rta darajada yuqori xavf bilan baholaganligi,natijada Mozilla bu darajadagi xavf-xatarga ega bo'lgan zaifliklarga ega emasligi haqida so'rov o'tkazgan Secunia ma'lumotlariga ko'ra. Bundan tashqari, Secunia rivojlanayotgan muammolarni bartaraf etishda Mozilla ning juda yuqori samaradorligini qayd etadi. Statistikaga ko'ra, barcha hujumlarning katta qismi veb-brauzerlarga to'g'ri keladi. Bir necha xavf omillar bor: 1) brauzerga troyan dasturi bilan yuborilgan hujum; 2)foydalanuvchi ma'lumotlarini to'plash (qaysi sahifadan kelgan, qaysi IP ostida); 3) qattiq diskda tashrif buyurilgan sahifalar haqidagi ma'lumotlarni buzish; Download 354.24 Kb. Do'stlaringiz bilan baham: 
|