«veb dasturlar xavfsizligi»
Download 138.13 Kb.
|
Izoh
|
2.6Mijoz tomoni tahlili
Veb-makondagi o'zaro aloqaning to'liq tasviri, veb-ilovaning o'zidan tashqari, veb-saytga qonuniy tashrif buyuruvchilarni (mijozlarni) ham o'z ichiga oladi. Shuning uchun xavfsizlik choralari nafaqat veb-ilovaning o'zini himoya qilishi, balki mijozlarga xizmat ko'rsatishga ham xalaqit bermasligi kerak. Agar siz mijoz qismini taqdim etilgan tasnifga kiritsangiz, unda nafaqat veb-ilovalar serverini, balki mijoz tomoni himoya qilishni ham ko'rib chiqishga arziydi. Misol uchun, ba'zi XSS hujumlari veb-ilovaning o'ziga emas, balki veb-sayt mijozlariga qaratilgan. Shuning uchun, alohida tasniflashda mijozni himoya qilish yondashuvini ko'rib chiqishga arziydi.. Server tomonidagi xavfsizlik texnikasi faqat veb-ilovani ma'lumotlar bazasi serveri yoki fayl tizimi kabi tegishli qo'llab-quvvatlash infratuzilmasi bilan himoyalashga qaratilgan. Tipik server hujumlariga misollar "SQL injection", "Directory Traversal" yoki mantiqiy operatsion xatolar. Mijozlarga yo'naltirilgan yondashuv qonuniy veb-saytga tashrif buyuruvchilarni potentsial tajovuzkorlardan himoya qilish muammosini hal qiladi. Bu toifa xavfsizlik mijoz xavfsizligini ham, veb-ilovalar xavfsizligini ham hisobga oladi. Mijozlarga asoslangan hujumlarga ikkita keng toifadagi hujumlarni kiritish mumkin: - ijtimoiy muhandislik; - "Drive-by-Download" hujumlari. Ijtimoiy muhandislik hujumlari odamni bajarishga majbur qiladi Har qanday qo'lda harakat, "Drive-by-Download" hujumlari esa dasturiy ta'minotning zaifliklaridan foydalangan holda avtomatik ravishda bir xil maqsadga erishadi. Xavfsizlik dasturiy ta'minot yangilanishi haqiqiy bo'lsa-da ba'zi bir "Drive-by-Download" olish hujumlaridan himoya qilishi mumkin, ijtimoiy muhandislik sinfiga qarshi hujumlarni faqat texnik yondashuvlardan foydalangan holda hal qilish biroz qiyinroq, bu ko'pincha foydalanuvchilarni o'qitishni talab qiladi. Ifloslanish yoki ifloslanishga asoslangan sinflarga. Garchi bu texnik jihatdan to'g'ri bo'lsa-da, bunday bo'linish biroz cheklangan va real emas. Shu sababli, taqdim etilgan tasnif ko'proq moslashuvchan va bir xil ko'rinishni ta'minlash orqali turli xil tasniflash turlari o'rtasidagi chalkashlik va nomuvofiqliklarni bartaraf etishga qaratilgan. Keyingi bo'lim bo'ladi veb-ilovalarni himoya qilishning mavjud usullari ko'rib chiqiladi va ularni tahlil qilish asosida kamchiliklar aniqlanadi Download 138.13 Kb. Do'stlaringiz bilan baham: 
|