«veb dasturlar xavfsizligi»
Download 138.13 Kb.
|
Izoh
|
2.5Ilova tahlili
Ba'zi xavfsizlik yondashuvlari xulq-atvor jihatlariga emas, balki dasturning o'ziga qaratiladi, boshqacha aytganda, dasturning manba kodi tahlil predmetiga aylanadi. Biroq, asl nusxani to'liq tahlil qilishning yuqori murakkabligi tufayli dastur kodining, odatda ilovaning ba'zi o'ziga xos jihatlariga e'tibor qaratiladi. Misol uchun, bunday dasturga yo'naltirilgan yondashuvlar odatda foydalanuvchi kiritish xususiyatlaridan tegishli tekshirish(masalan, SQL so'rovining bir qismi sifatida ma'lumotlar bazasiga kirish) foydalanadigan kod parchalarini topishga qaratilgan. Agar barcha sezilmaydigan kirishlar manba kodlari darajasida tegishli ishlov berish orqali aniqlansa va ushlansa (qo'lda yoki avtomatik ravishda), u holda dastur foydalanuvchi kiritishiga asoslangan hujumlarga qarshi immunitetga ega bo'ladi deb taxmin qilinadi. Ilovalarni tahlil qilish yondashuviga ham e'tibor qaratish mumkin qo'llaniladigan yechim uchun turli xil kelishmovchiliklar va nomuvofiqliklarni aniqlash bo'yicha mantiqiy darajadagi vazifalar. Ushbu yondashuvda ariza sifatida ko'rib chiqiladi.Kirish parametrlari va ma'lumotlar oqimlari to'plami (o'zgaruvchilarni belgilash) [9]. Ma'lumotlar oqimlari soni ortib borayotganligi sababli, ishlab chiquvchilar ba'zi yo'llarga kerakli sog'liq tekshiruvlarini kiritishni unutishlari mumkin. Klassik misol - onlayn xarid qilish savatidagi narsalar soni. Agar barcha ma'lumotlar oqimi yo'llari foydalanuvchi tomonidan taqdim etilgan raqam ijobiy yoki yo'qligini tekshirmasa, foydalanuvchi kutilmagan chegirmalarga ega bo'lishi mumkin. Berilgan foydalanuvchi kiritish uchun barcha ma'lumotlar oqimi yo'llarini kuzatib borishshuni hisobga olib, ilovadagi bunday mantiqiy kamchiliklarni aniqlash yo'llardan kamida bittasi zarur tekshiruvlarni o'z ichiga olish imkonini beradi. Aniqlangan tekshiruv keyinchalik nazoratsiz foydalanuvchi kiritishiga asoslangan hujumlarning oldini olish uchun ma'lumotlar oqimining qolgan yo'llariga avtomatik ravishda qo'llanilishi mumkin. Bundan tashqari, bir xil ma'lumotlar uchun turli xil tekshiruvlarni qayta ishlash turli yo'llar bilan qamrab olinmaydi. Garchi ba'zi hollarda ikki xil tekshiruvning kombinatsiyasi bo'lishi mumkin mumkin, o'zaro eksklyuziv tekshiruvlar uchun mojaro qanday hal qilinishi kerakligi aniq emas. Yondashuvning hal qilinishi mumkin bo'lgan boshqa cheklovlari yuqori darajada xotiradan foydalanishni o'z ichiga oladi va inson yordamini talab qiladi.Veb-ilovaning manba materiallariga kirish imkoniga ega bo'lmasdan, yondashuvlar to'plami,himoya qilish o'rniga ilovaning tashqi xatti-harakatiga e'tibor qaratishi mumkin. Bunday yondashuvlar, asosan, amaliy xatti-harakatlarning aspektlarini tanlashda farqlanadi,ular kuzatadilar va tahlil qiladilar. Xulq-atvorning tomonlarini tanlash ular bilan cheklangan.Veb-ilovalar tomonidan qo'llaniladigan ikkita eng keng tarqalgan o'zaro ta'sir usullari: HTTP protokoli (so'rov/javob juftliklari); - Ma'lumotlar bazasiga kirish. Kamroq tarqalgan shovqin faylga kirish orqali sodir bo'ladi. tizim va tarmoq almashish. Misol uchun, bir xil HTTP javoblarini kuzatish ba'zi hujumlarni aniqlash uchun etarli bo'lishi mumkin, ammo SQL in'ektsion hujumlarini bu tarzda aniqlab bo'lmaydi. Faqat ma'lumotlar bazasiga kirish harakatlarini tahlil qilganda, siz XSS hujumlarini ko'rishingiz mumkin. Aniqlanmagan. kamroq tez-tez bajariladigan ishlarga e'tibor qarating (kirish fayllarga va tarmoqqa) ko'proq hujumlar qolishiga olib kelishi mumkin. Shunday qilib, chiqish bilan bog'liq xavfsizlik yondashuvlari bir vaqtning o'zida bir nechta tashqi kuzatilishi mumkin bo'lgan harakatlarni nazorat qiladi va tahlil qiladi. Download 138.13 Kb. Do'stlaringiz bilan baham: 
|