Кіріспе 2 1 Web сайттағы ақпараттық шабуылдарды айқындаудың негізгі әдiстерi 4



бет7/19
Дата20.11.2021
өлшемі1.5 Mb.
1   2   3   4   5   6   7   8   9   10   ...   19
Қолданушыларға шабуыл

Бұл шабуылдар классы веб-сервердің пайдаланушыларына жасалған шабуылдар түрін білдіреді. Веб-бағдарламаны қолдану кезінде веб-сервер мен пайдаланушы арасында сенімді қарым-қатынас орнатылады. Пайдаланушы веб-сервердің қауіпсіз екеніне сеніп, оның тарапынан ешқандай шабуылдарды күтпейді. Қаскүнем осы мүмкіндікті пайдаланып шабуылды ұйымдастырады.



Сайтаралық сценарийді орындау. Cross-Site Scripting (XSS) - веб-бағдарламаға шабуылдың бұл түрі веб- жүйе арқылы шығарылған бетке зиянды кодты кірістіруден тұрады. Пайдаланушы бұл бетті ашқанда, кірістірілген код дереу орындалады және шабуылдаушының веб-серверімен өзара әрекеттеседі.

Кірістірілген зиянды код қаскүнемге кіру үшін пайдаланушының авторизациясын қолдана алады немесе пайдаланушы авторизациялау деректерін ала алады.

Зиянды кодты сайт бетіне веб-сервердегі осалдық немесе пайдаланушы компьютеріндегі осалдық арқылы кірістіруге болады.

XSS шабуылдарының 3 нұсқасы бар:



  • тұрақты (сақталатын) XSS. Java script серверде немесе сайтта сақталады;

  • тұрақты емес (көрсетілетін) XSS. Пайдаланушы арнайы сілтемеге басқан кезде орындалады;

  • DOM моделіндегі XSS. Ол зиянкестердің серверге деректерді жіберуіне негізделген.

Positive Technologies зерттеуіне сәйкес, XSS веб-сайттарға шабуылдар жалпы шабуылдардың 3% -ын құрайды.

Тұрақты XSS - кросс-сайтты сценарийлік шабуылдың ең жойғыш түрі. Шабуылдаушы сайтқа немесе серверге зиянды кодты енгізуді басқарған кезде орындалады. Зиянды код ендірілген сайт бетіне кіру кезінде әр уақытта орындалатын болады. Хабарларды сүзгілеусіз пікір қалдыра алатын форумдар бұл шабуылға классикалық мысал болып табылады.

Тұрақты емес (көрсетілетін) XSS шабуылы ең көп таралған шабуыл есебіндегі XSS болып табылады. Шабуылдың бұл түрі URL немесе HTML түріндегі пайдаланушы ұсынған ақпаратты дұрыс деректерді өңдемей жауапты жасағанда мүмкін болады.

XSS шабуылдарынан қорғану үшін келесі әдістерді пайдалануға болады:



  • кіріс / шығыс деректерін экрандау. Біртаңбалы емес таңбаларды біртаңбалыға алмастыру. «<Және>» таңбалары адам ретінде де, компьютермен де қабылданады. Мысалы, “<” символын жазатын болсақ ол “<” осы символға тең болады, ал егер “>” символын жазатын болсақ ол “>” осы символға тең болады;

  • «ақ тізімдерді» қолдану. Символдарды тек арнайы жолдарда ғана қолданылатын жолдарға теруге рұқсат беру. Сандарды теретін жолға тек сандарды, ал әріптерді теретін жолға тек әріптерді теруге рұқсат беру.

Сайтаралық жалған сұраныс жасау. Кросс-сайтты сұраныстарды жалған ету (CSRF) - HTTP хаттамасының кемшіліктерін пайдаланатын веб-торапқа кірушілерге жасалған шабуыл түрі. Егер қолданушы шабуыл жасаған сайтқа кірсе, онда сұраныс басқа серверге (мысалы, төлем жүйесінің серверіне) жасырын түрде басқа зиянды әрекетті орындауға жіберіледі (мысалы, шабуылдаушының шотына ақша аудару). Бұл шабуылды жүзеге асыру үшін қолданушы сұраныс жіберілген серверде аутентификациядан өткен болуы керек және бұл сұраныс пайдаланушыдан ешқандай растауды талап етпеуі керек (шабуыл жасайтын скриптті жасыруға болмайды, яғни, шабуылдайтын скрипт оған қарсы әрекет жасай алмайды сол себепті шабуыл іске аспай қалады.

SQL операторларын орындау.SQL операторларын орындау - дерекқорлармен жұмыс істейтін веб- сайттарды және бағдарламаларды бұзудың танымал әдістерінің бірі. Бұл шабуыл сұранысқа SQL-кодтың ендірілуімен жүзеге асады.

SQL инъекциясы, пайдаланылатын ДҚБЖ түріне және орналастыру шарттарына байланысты, зиянкестерге дерекқордың сұранымдарын жасауға мүмкіндік береді (мысалы, кез келген кестелердің мазмұнын оқу, деректерді жою, өзгерту немесе қосу), жергілікті файлдарды оқу және / немесе жазу мүмкіндігін алу шабуылдаған серверде ерікті командаларды орындайды. Бұл шабуыл SQL сұраныстарында пайдаланылатын кіріс деректерін дұрыс өңдемеу кезінде мүмкін болады.

SQL шабуылдарынан қорғау үшін, SQL сұраныстарды құру үшін пайдаланылатын кіріс параметрлерін сүзгілеуді пайдаланады:


  • сандық параметрлердің дұрыстығын тексеру. PHP-де сандық параметрлердің дұрыстығын тексеру үшін is_numeric (n) функциясын пайдалана аласыз;

  • қатарлардың параметрлерінің дұрыстығын тексеру

  • символдарды экрандау. PHP серверлі тілінде addslashes ($string); және mysql_real_escape_string($str) функцияларын пайдалануға болады.

Логикалық шабуылдар

Бұл шабуыл түрлері веб-бағдарламаның логикалық функионалдығына немесе қолдану функциясына бағытталған. Веб-бағдарламаның кейбір міндеттерді орындау үшін пайдаланушыдан кезекпен дұрыс орындауды талап етуге мүмкіндігі бар. Шабуылдаушы осы механизмдерді өз мақсаттарында айналып өтуге және қолдануға қабілетті.



Қызмет көрсетуден бас тарту

Қызмет көрсетуден бас тарту (DoS) шабуылы - есептеу жүйесіне қарсы шабуыл. Барлық желілік құрылғыларда бір уақытта өңделетін сұраныстар саны бойынша шектеулер бар. Бұдан басқа, сервер Интернетпен байланысатын арнада өткізу қабілеті шектеулі. Сұраныстар саны шектік мәндерден асса, төмендегі сияқты мәселелер орын алады:



Қалаған ресурсқа тым көп сұраныстар жіберу үшін, шабуылдаушылар ботнетті (трояндық вирустармен зарарланған компьютерлердің зомби желісі) пайдаланады. Бұл шабуыл Distributed Denial of Service (DDoS) атпен белгілі. Оның айырмашылығы мынадай: DoS-шабуыл бір компьютерден шықса, онда DDoS-шабуыл бірнеше компьютерден келеді. Компьютер иелері көбінесе олардың компьютері осы шабуылға қатысы бар деп күдіктенбейді. 1.3- суретте DDOS шабуылының орындалу сұлбасы көрсетілген.

1.3 - сурет DDOS шабуылының орындалу сұлбасы


    1. Енгізілген жіктемені талдау негізінде Web-сайттардың осалдықтары мен оларға жасалатын шабуылдардың синтезделген тізбесі


Әлеуетті осалдықтар мен веб-қосымшаның қауіпсіздігіне төнетін қауіп- қатерлерге және енгізілген жіктемеге жүргізілген зерттеу негізінде, сондай-ақ Positive Technologies компаниясының зерттеу статистикасы мен зерттеу мақалаларының негізінде өзекті шабуылдар мен осалдықтарға талдау жүргізілді және 1.3 кестеде ұсынылған тізбе қалыптастырылды. Қалыптасқан тізбеде әлеуетті осалдықтар мен осы осалдықтарға типтік шабуылдар синтезі жүргізілді,сондай-ақ тәуекел дәрежесі мен шабуыл әлеуетіне баға берілді. Алдымен, келтірілген жіктемеге сәйкес қандай осалдықтар анағұрлым өзекті екені қарастырылды. Positive Technologies компаниясының 2018 жылғы осалдықтарының таралуын талдау деректері бойынша тестіленетін веб- бағдарламалардың көпшілігінде табылған ең көп таралған осалдықтар: сайтаралық скриптинг (XSS), ақпараттың ағуы, таңдау (Brute force), БҚ идентификациясы, директорияларды индекстеу, сұраныстарды қолдан жасау, SQL командаларын ендіру (SQL injection), авторизация (1.4-сурет).



1.4-сурет. Веб-бағдарламалардың негізгі типті осалдықтардың рейтингі

Positive technologies зерттеуінің веб-бағдарламаларға жасалынатын шабуылдар статистикасына сәйкес 2018 жылда келесі шабуылдар ең өзекті болған (1.5-сурет). Сайтаралық сценарийді орындау, SQL командаларын ендіру, белгіленген директория сыртынан шығу (Path Traversal), жергілікті файлдарды қосу, ОЖ командаларын және кодты алшақ орындау және т.б.


1.5- сурет. Веб-бағдарламаларға жасалынатын шабуылдар статистикасы


  1. Достарыңызбен бөлісу:
1   2   3   4   5   6   7   8   9   10   ...   19




©melimde.com 2020
әкімшілігінің қараңыз

    Басты бет
Сабақтың тақырыбы
бойынша жиынтық
Сабақтың мақсаты
жиынтық бағалау
Сабақ тақырыбы
ғылым министрлігі
тоқсан бойынша
рсетілетін қызмет
Жалпы ережелер
бағалауға арналған
қызмет стандарты
бекіту туралы
Сабақ жоспары
Қазақстан республикасы
жиынтық бағалаудың
жиынтық бағалауға
тоқсанға арналған
Әдістемелік кешені
республикасы білім
бағалау тапсырмалары
арналған жиынтық
арналған тапсырмалар
білім беретін
туралы хабарландыру
Қазақстан республикасының
бағалаудың тапсырмалары
арналған әдістемелік
мерзімді жоспар
пәнінен тоқсанға
Қазақстан тарихы
Реферат тақырыбы
Қазақ әдебиеті
Жұмыс бағдарламасы
бағдарламасына сәйкес
болып табылады
нтізбелік тақырыптық
Мектепке дейінгі
біліктілік талаптары
оқыту әдістемесі
республикасының білім
әдістемелік ұсыныстар
мамандығына арналған
әкімінің аппараты
туралы анықтама
жалпы білім
қойылатын жалпы
жалпы біліктілік
Конкурс туралы
қазақ тілінде
білім берудің
мемлекеттік әкімшілік