«veb dasturlar xavfsizligi»
Veb ilova xaraktiristikasi
Download 138.13 Kb.
|
Izoh
|
1.2Veb ilova xaraktiristikasi
Veb ilova - bu mijoz-server asosida ishlaydigan veb-platformada bajariladigan ilova. Bu zamonaviy veb-ekotizimning ajralmas qismi,axborot va xizmatlarning dinamik qayta tashkil qilishni ta'minlaydi. 1-Shaklda ko'rsatilganidek,veb-ilova quyidagi kabi bajariladigan koddan iborat server tomoni, shuningdek mijoz tomoni.Server tomonida veb-ilova HTTP so'rovlari orqali foydalanuvchidan kirish ma'lumotlarini qabul qiladi va mahalliy fayl tizimi, ma'lumotlar bazasi bilan ma'lumotlar yoki ma'lumotlarga kirish va ma'lumot olish uchun boshqa komponentlar o'zaro tasir qilib,keyin server HTTP javoblari orqali mijozga yuboriladigan chiqishni (ya'ni hosil qilingan HTML sahifalarini) qaytaradi. HTML sahifalari mijoz tomonida ko'rsatiladi va HTTP javoblariga o'rnatilgan mijoz kodi (ya'ni JavaScript) veb-brauzer tomonidan bajariladi. Mijoz kodi, server kodi bilan xalaqit bermasdan asinxron tarzda o'zaro ta'sir qilishi shuningdek, AJAX orqali mavjud HTML sahifani ko'rsatishga va sahifani dinamik ravishda yangilashi mumkin, Hozirgi vaqtda Ilovalarni tezkor ishlab chiqish maqsadidaba'zi kutubxonalar va dasturlash platformalari ishlab chiqilmoqda (masalan, Ruby on Rails va Django). Misol uchun, veb-ishlab chiqish platformalarining ko'pchiligi ishlab chiquvchilar veb-sessiyalarni boshqarishi uchun bevosita foydalanishi mumkin bo'lgan sessiyalarni boshqarish xususiyatlarini taqdim etmoqda. [2] da veb-resurslar ishining asosiy xususiyatlarini ko'rib chiqilgan. Veb-ilovalarni bajarish modeli an'anaviy ilovalardan tubdan farq qiladi. Veb-ilovalarni ishlab chiqishda an'anaviy ilovalarni ishlab chiqishda siz bilan to’qnash kelmagan shart hamda qiyinchiliklarga duch kelinadi. Birinchidan, ochiq veb-muhitda foydalanuvchi tomonidan malumot kiritishi potentsial xavfli va hech qachon ishonmaslik kerak. Kirivchi malumotlarni tekshirish, ilova foydalanuvchisi ma'lumotlar uchun ishonchsiz kirishni aniqlash va tozalash veb-ilovaning muhim qismi . Kirishni tekshirish muhim xususiyat bo'lsa-da,barcha turdagi ilovalar uchun zarur bo'lgan, uni veb-ilovalarda amalga oshirish veb-ishlab chiqish texnologiyalarining o'ziga xos xususiyatlari tufayli ancha qiyindir Ikkinchidan, mijoz va veb-ilova o'rtasidagi aloqa HTTP protokoli orqali amalga oshiriladi. Natijada veb-ilovalar, bir xildan bir nechta kirish malumotlarida bir foydalanuvchi turli, mustaqil foydalanuvchilar sifatida qabul qilinadi. Bunday harakatlarni tuzatish uchun veb-ilova bir xil foydalanuvchining veb-so'rovlarini moslashtirish uchun seans boshqaruvidan foydalanishi kerak. Chunki mijoz tomonidagi hisob-kitoblari natijasiga umuman ishonish mumkin emas, bu natijalarni server.tomondan qo'shimcha tekshirish talab qilinadi Ushbu yagona imkoniyat veb-ilovaning bu mijoz va server o'rtasidagi va turli modullar orasidagi dastur oqimini boshqarishi kerak bo’lgan mantiqiy amalga oshirilishini sezilarli darajada murakkablashtiradi,. Veb-ilovalarni ishlab chiqishning ushbu jihatlari keyingi bo'limlarda yoritiladi. Xulosalar Yuqoridagilarning barchasiga asoslanib, ko'rib chiqilgan arxitektura va xususiyatlarga asoslanib, biz tajovuzkor o'z hujumini amalga oshirishi va veb-resursga zarar etkazishi mumkin bo'lgan bir nechta joylarni aniqlashimiz mumkin: veb-resursga kiritilgan ma'lumotlarni tahlil qilish va himoya qilish (foydalanuvchi tomonidan kiritilgan ma'lumotlarni monitoring qilish); veb-ilovaning o'zini himoya qilish (manba kodlarini tahlil qilish); chiqish himoyasi (qaytarilgan HTTP javoblarini tahlil qilish, kirishni tahlil qilish). JB); mijoz tomonini tahlil qilish (brauzer). Keyinchalik, veb-resurslarni himoya qilishning eng mashhur usullari va modellarini ko'rib chiqamiz va ularni turli omillarga qarab tasniflaymiz. Veb-resurslarni himoya qilish tasnifi Veb-ilovalarni himoya qilish usullarini bir necha toifalarga ajratish mumkin. Bunday omillar himoyalangan veb-ilovaning turini, himoya usuli aniqlaydigan yoki oldini olinadigan hujumlar sinfini o'z ichiga olishi mumkin. yondashuv yoki himoyalangan ob'ektning turli umumiy xususiyatlari. [3] maqolada edi.Barchasini to'liq qamrab oluvchi himoya usullari tasnifi taklif etiladi veb-resurslarga qaratilgan hujumlarning zamonaviy sinflari. Ushbu bo'lim veb-ilovalarni himoya qilish usullarining zamonaviy umumiy tasnifini taqdim etadi (1-jadvalga qarang). Ta'riflangan tasnif xavfsizlik usullarini toifalarga ajratish uchun ikkita mustaqil xususiyatlar to'plamidan foydalanadi. Aynan “kuzatiluvchi predmet” va “Qaror qabul qilish uchun asoslar”. “kuzatiluvchi predmet” xossasi Kirishlar, Ilova va Chiqishlarni oʻz ichiga oladi, “Qaror qabul qilish uchun asoslar” esa “Statistika”, “Siyosat” va “Niyatdan” iborat. Nomidan ko'rinib turibdiki, birinchi xususiyat himoya nimani tahlil qilishini aniqlaydi. Masalan, xavfsizlik foydalanuvchi yoki ilovaning chiqishini boshqarishi mumkin. Ikkinchi xususiyat qarorlar nimaga asoslanganligini belgilaydi. Yechimlarga asoslangan "statistika" (odatda anomaliyalarni aniqlash deb ataladi) asosida qurilgan hujumlar anomal (kamdan-kam uchraydigan) hodisalar ekanligi haqidagi taxmin. "Siyosat" asosidagi qarorlar dastlabki bilimlarga asoslanib tuziladi yoki xavfsizlikni ishlab chiquvchining niyatlari qoidalar bo'yicha va odatda xavfsizlikka asoslangan yondashuvlarda qo'llaniladi. "Siyosat"ga asoslangan qarorlardan farqli o'laroq, "niyatga asoslangan" qarorlar dastur ishlab chiquvchisining maqsadini aniq ifodalab beradi (odatda dasturning manba kodini tahlil qilish orqali). 1-jadval Veb-ilovalarning himoya metodi toifalari
Download 138.13 Kb. Do'stlaringiz bilan baham: 
|