«veb dasturlar xavfsizligi»
Download 138.13 Kb.
|
Izoh
|
2.4Kirish tahlili
Hujumlarning muhim klassi kabi SQL in'ektsiyalari yoki XSS hujumlari foydalanuvchi tomonidan taqdim etilgan ma'lumotlarni noto'g'ri ishlash orqali sodir bo'lishi mumkin bo’ladi. Shuning uchun foydalanuvchi malumotlarini kiritishini kuzatishga e'tibor qaratildi. Shunday qilib, himoya qilish usullarining butun toifasi paydo bo'ldi.Muayyan texnik bosqichlardan qat'i nazar, ushbu himoya choralari ortidagi umumiy g'oya foydalanuvchi ma'lumotlarini doimiy ravishda kuzatib borish va uni oldindan belgilangan qoidalar to'plamiga muvofiq o'zgartirish (yoki oldindan to'plangan statistik ma'lumotlar)ga asoslanadi. Himoyalangan ilovaga foydalanuvchi kiritishlari (odatda HTTP GET/POST so'rovlari, fayllarCookie-fayllar yoki sarlavhalar) kelishi bilan nazorat qilinadi va tahlil qilinadi. Amalga oshirishga qarab, Agar kiritilgan ma'lumotlar mos kelmasligi aniqlangan taqdirda, butun tranzaksiya o'chiriladi yoki kiritilgan ma'lumotlarni to'g'rilash uchun tiklash jarayoni (dezinfeksiya) amalga oshiriladi. Bunday yondashuvlarni qo'llash nisbatan oson bo'lsa-da, muammo "sanitizatsiya" xususiyatlarining o'zida bo'lishi mumkin. To'g'riligini isbotlash,agar ushbu funktsiyalarda xatolik mavjud bo'lsa amaldagi "dezinfeksiya" funktsiyasining amalga oshirilishi ma'lum hollarda ahamiyatsiz bo'lishi mumkin.Kirishni doimiy ravishda kuzatishga urinishlariga qaramay buzilishlarni aniqlashning rivojlanishi faqat kirish parametrlariga bog'liq bo’ladi, taqdim etilgan himoya esa ishlamaydi. Bu kabi zararli faoliyatni aniqlash foydalanuvchilar tomonidan taqdim qilingan malumotlarga bog’liq bo’lganligi uchun mutloqo ilova xavfsizligiga foydali emas., Bu ko'rinish faqat foydalanuvchilarga e'tiborni qaratadi va dasturning haqiqiy xavfsizligi haqida hech qanday fikr bildirmaydi. Misol uchun, kutilmagan HTTP GET so'rovi paydo bo'lganda signalni ko'tarish shubhali vaziyatlarni aniqlashga yordam beradi. Agar ilova xatolikka duch kelmasa, ilova tomonidan yaratilgan sahifa HTTP GET parametrlari sifatida ko'rib chiqilish kerak kutilmagan zararli harakatlar bo’lishi mumkin chunki,serverga faqat oldindan belgilangan variantlar to'plamini qaytariladi.Shunday qilib, agar bunday kutilmagan parametr topilsa, buni qilish mumkin. Xulosa shuki, parametr oldindan belgilangan vositalar bilan emas, balki foydalanuvchi tomonidan taqdim etilgan. Kutilmagan bo'lsa-da, bu holat haqiqiy hujumni anglatmasligi mumkin. Bundan tashqari, agar aniqlangan vaziyat hujumga urinish bo'lsa ham, u muvaffaqiyatli bo'ladimi yoki yo'qmi (yoki qanday harakatlar qilish kerak) oldindan aytib bo'lmaydi. hujumlarni oldini olish uchun, agar mavjud bo'lsa) nimani chuqur tushunmasdan dastur qanday tashkil etilgan. Ba'zi yondashuvlar bu muammoning yechimlari uchun to'plamni olish uchun dastlabki tahlilni foydalanuvchi kiritishiga qo'yilishi kerak bo'lgan cheklovlar amalga oshiradi. Ushbu yondashuv ta'minlash uchun mijoz autentifikatsiyasi ishlatilishi mumkin Download 138.13 Kb. Do'stlaringiz bilan baham: 
|