Ўзбекистон республикаси олий ва ўрта махсус таълим вазирлиги олий таълим тизими педагог ва раҳбар кадрларини
Download 5.84 Mb. Pdf ko'rish
|
deshifr
- Bu sahifa navigatsiya:
- 5.2. Дастурий маҳсулотларда мавжуд заифликлар
- Хотиранинг тўлиб тошиши (Buffer overflow).
|
88
Тизим Дастурдаги кодлар узунлиги Netscape 17 мил. Space Shuttle 10 мил. Linuxkernel 2.6.0 5 мил. Windows XP 40 мил. Mac OS X 10.4 86 мил. Boeing 777 7 мил. Таҳлиллар натижаси шуни кўрсатадики ҳар 10 000 қатор кодда, 5 та баг мавжуд бўлар экан. Бошқача қилиб айтилганда ўртача 3кбайт .exe файлда 50 тага яқин баг бўлади. Дастурий воситалардаги мавжуд таҳдидлар одатда дастурлаш тиллари имкониятлари билан белгиланади. Масалан, нисбатан қуйи дастурлаш тиллари дастурчидан юқори малакани талаб этгани боис, уларда кўплаб хавфсизлик муаммолари пайдо бўлади. Масалан, C#, Java дастурлаш тиллари С ѐки С++ дастурлаш тилларига нисбатан хавфсиздир. Сабаби бу дастурлаш тилларида кўплаб муаммолар автоматик равишда, компиляция жараѐнида аниқланади. 5.2. Дастурий маҳсулотларда мавжуд заифликлар Одатда зарарли дастурий воситалар икки турга бўланади: – дастурлардаги заифликлар (атайин қилинмаган); – зараркунанда дастурлар (атайин қилинган). Биринчи турга асосан, дастурчи томонидан йўл қўйилган хатолик натижасида келиб чиққкан зарарли дастурлар мисол бўлса, иккинчи турга бузғунчилик мақсадида ѐзилган махсус дастурий маҳсулотлар (вируслар) мисол бўлади. Қуйида ҳозирда дастурий воситаларда дастурчилар томонидан йўл қўйиладиган таҳдид ва камчиликлар билан танишиб чиқилади. Хотиранинг тўлиб тошиши (Buffer overflow). Амалда кўп учрайдиган дастурлаш тилларидаги камчиликлар одатда, тақиқланган форматдаги ѐки ҳажмдаги маълумотлар киритилиши натижасида келиб чиқади. Бу турдаги таҳдидлар ичида кенг тарқалгани бу – хотиранинг тўлиб тошиш таҳдиди саналади. 1 Масалан, веб сайтда фойдаланувчидан маълумотлар киритилиши талаб этилса (исми, фамиляси, йили, ва ҳак.), фойдаланувчи томонидан киритилган 1 Stamp Mark. Information security: principles and practice. 407 – с. III. НАЗАРИЙ МАТЕРИАЛЛАР 89 ―исм‖ майдонидаги маълумот сервердаги N та белги ҳажмига эга соҳага ѐзилади. Агар киритилган маълумот узунлиги N дан катта бўлган ҳолда, хотиранинг тўлиб тошиши ҳодисаси юзага келади. Агар бузғунчи томонидан ―керакли‖ маълумот киритилса, бу ўз навбатида компьютерни бузулишига олиб келади. Қуйида С дастурлаш тилида ѐзилган код келтирилган бўлиб, агар бу код компиляция қилинса хотиранинг тўлиб тошиши ҳодисаси келиб чиқади. int main() { int buffer [10]; buffer [20] =37; } Сабаби 10 байт ўлчамдаги хотиранинг 20 байтига маълумот ѐзилмоқда. Бу эса хотиранинг рухсат этилмаган манзилига мурожаатни келтириб чиқаради. Агар дастурий маҳсулот аутентификацияни таъминлаш мақсадида яратилган бўлиб, аутентификация натижаси бир бит билан ифодаланади. Агар хотиранинг тўлиб тошиши натижасида ушбу бит бузғунчи томонидан муофақиятли ўзгартирилса Триди ўзини Алиса деб таништириш имкониятига эга бўлади. Бу ҳолат қуйидаги 5.1-расмда келтирилган. Бу ерда F аутентификациядан мувафақиятли ўтилмаганлигини билдиради. Агар Триди F (0 ни) майдон қийматини Т (1 га) ўзгартирса, дастурий таъминот Тридини Алиса сифатида танийди ва унга ресурсларидан фойдаланиш имкониятини яратади (5.2 - расм). 5.1 – расм. Хотира ва мантиқий байроқ III. НАЗАРИЙ МАТЕРИАЛЛАР 90 5.2 – расм. Содда хотирани тўлиб тошиши Хотирани тўлиб тошиш ҳодисасини чиқурроқ ўрганишдан олдин замонавий компьютернинг хотира тузилиши билан танишилиб чиқилади. Компьютер хотирасининг соддалашган кўриниши қуйидаги 5.3 – расмда келтирилган. 5.3 – расм. Хотиранинг тузилиши Бу ерда text мадонида кодлар сақланиб, data соҳасида статик катталиклар сақланади. Help соҳаси динамик маълумотларга тегишли бўлиб, stack ни просессор учун «кераксиз қоғоз» вазифасини ўтайди. Масалан, динамик локал ўзгарувчилар, функция параметлари, функцияларнинг қайтриш манзиллари каби маълумотлар stack да сақланади. Stack pointer ѐки SP эса stackни энг юқорисини кўрсатади. Расмда stackни қуйидан юқорига чиқиши ҳолати билан ифодаланган. Download 5.84 Mb. Do'stlaringiz bilan baham: 
|