Кіріспе 2 1 Web сайттағы ақпараттық шабуылдарды айқындаудың негізгі әдiстерi 4


Веб-сайттар қауіпсіздігінің осалдықтары мен қауіптерін жіктеу және сипаттау



бет5/19
Дата20.11.2021
өлшемі1.5 Mb.
1   2   3   4   5   6   7   8   9   ...   19

Веб-сайттар қауіпсіздігінің осалдықтары мен қауіптерін жіктеу және сипаттау


Веб-сайттардың қауіпсіздігіне қандай әдіспен талдау жүргізу керек екенін анықтамас бұрын, алдымен ықтимал қауіп-қатерлер мен осалдықтарды зерттеу қажет. Web Application Security Consortium Threat Classification жүйесі бойынша тиісті қауіптерге сәйкес 6 сыныптарды біріктіре отырып, осалдықтардың өзекті түрлерін және оларды пайдаланатын шабуылдарды жіктейміз және сипаттаймыз:



  • ақпаратты жария ету;

  • аутентификация;

  • авторизация;

  • клиенттерге шабуылдар;

  • кодты орындау;

  • логикалық шабуылдар.

Trustwave мәліметтері бойынша, көптеген компаниялар веб- бағдарламаларға шабуыл жасау қаупін дұрыс бағалай алмайды, олардың 66%- ы осалдықтарға өздерінің веб-бағдарламаларының тек 25% - ын ғана сынақтан өткізді. Бұл ретте фирмалардың 20% бұл процестің еңбек сыйымдылығы мен ұзақтығына байланысты тестілеу өткізбейді, ал40% өзінің веб- бағдарламаларының тек 5% ғана тестілейді.

Бұл жіктеу веб-қосымшаның қауіпсіздігін талдауды барынша жеделдету және жеңілдету және өзекті осалдықтар мен танымал шабуылдарға назар аудару үшін ұсынылады.

Осындай жіктеуді енгізудің орындылығы қазіргі кезде мұндай жіктеу жоқ болғандықтан, Web-сайттардың инфрақұрылымын дамыту есебінен осалдықтар мен шабуылдардың негізі ғана бар, олардың кейбіреулері қазір қолданылмайды немесе осалдықтар өздерінің өзектілігін жоғалтты.

Ақпаратты ашу

Бұл бөлім веб-бағдарлама туралы қосымша ақпарат алуға бағытталған шабуылдарды ұсынады. Осы осалдықтарды пайдаланған кезде құқық бұзушы қандай бағдарламалық жасақтаманың таратылуын, жаңартуларды, серверді және клиенттік нұсқасын орнатуды анықтау мүмкіндігіне ие болады. Кейбір жағдайларда, ұрланған ақпаратта уақытша файлдар мен сақтық көшірмелер болуы мүмкін. Көптеген веб-серверлер деректердің үлкен көлеміне рұқсат береді, сондықтан қызметтік ақпараттың көлемін азайту қажет. Шабуылдаушы, егер ол үлкен білім көлеміне ие болса, веб - бағдарламаны бұзып алуы оңай болады.



Директорияларды индекстеу.

Клиент веб-бағдарламаның басты бетін сұрағанда, ол, әдетте, домен атауын файл атаусыз көрсетеді, яғни сервер автоматты түрде директорияда әдепкі файлдарды табады және жауапты жасайды, бірақ мұндай файлдар жоқ болса, пайдаланушы жауап ретінде веб-сервердегі директориядан файлдар тізімін ала алады.

Мұндай жағдайда құқық бұзушы еркін қол жеткізуге арналмаған мамандандырылған деректерге қол жеткізуге мүмкіндігі бар.

Жиі веб-бағдарламалардың әкімшілері гиперсілтеме жоқ болса, ол пайдалануышыларға көрінбейді деп пайымдай отырып, "жасыру арқылы қауіпсіздікті" есептейді.

Қазіргі заманғы осалдық сканерлері сұраныстардың нәтижелері негізінде сканерленетін тізімге файлдар мен директорияларды динамикалық түрде қосуға мүмкіндігі бар. Каталогтар тізіміне немесе «robots.txt» мазмұнына сүйене отырып, сканер жасырын файлдар мен каталогтарды таба алады. Сыртқы, анықтамалықтарды қауіпсіз индекстеу, веб-қосымшаға шабуылдауға қолданылатын құпия ақпараттың ағып кетуіне әкелуі мүмкін.

Бағдарламаны идентификациялау.

Сервер мен клиенттің операциялық жүйелері, браузерлері мен веб- серверлері туралы ақпарат алу үшін шабуылдаушы бағдарламалардың нұсқаларын идентификациялауды пайдаланады. Бұл шабуыл деректер қорының сервері немесе каталог қызметі сияқты басқа веб-қолданбаның құрамдас бөліктеріне де бағытталуы мүмкін.

Әдетте мұндай шабуылдар веб-қосымшаның серверімен ұсынылатын әр түрлі деректерді талдау арқылы орындалады:


  • сookie мәні;

  • HTTP жауап тақырыптары;

  • каталог құрылымы;

  • веб-қосымшаларды әзірлеуді қолдау интерфейстері;

  • серверді басқару интерфейстері;

  • HTTP протоколын іске асыру ерекшеліктері;

  • сервер пайдаланатын файл кеңейтілімдері.



Достарыңызбен бөлісу:
1   2   3   4   5   6   7   8   9   ...   19




©melimde.com 2020
әкімшілігінің қараңыз

    Басты бет
Сабақтың тақырыбы
Сабақтың мақсаты
бойынша жиынтық
жиынтық бағалау
Сабақ тақырыбы
ғылым министрлігі
рсетілетін қызмет
тоқсан бойынша
Жалпы ережелер
қызмет стандарты
бағалауға арналған
бекіту туралы
Сабақ жоспары
Қазақстан республикасы
жиынтық бағалаудың
тоқсанға арналған
жиынтық бағалауға
Әдістемелік кешені
бағалау тапсырмалары
арналған жиынтық
республикасы білім
арналған тапсырмалар
туралы хабарландыру
білім беретін
Қазақстан республикасының
бағалаудың тапсырмалары
мерзімді жоспар
пәнінен тоқсанға
арналған әдістемелік
Қазақстан тарихы
Реферат тақырыбы
Жұмыс бағдарламасы
Қазақ әдебиеті
болып табылады
Мектепке дейінгі
нтізбелік тақырыптық
бағдарламасына сәйкес
біліктілік талаптары
әкімінің аппараты
мамандығына арналған
туралы анықтама
оқыту әдістемесі
қойылатын жалпы
әдістемелік ұсыныстар
Конкурс туралы
жалпы біліктілік
республикасының білім
жалпы білім
мемлекеттік әкімшілік
білім берудің
қазақ тілінде