Кіріспе 2 1 Web сайттағы ақпараттық шабуылдарды айқындаудың негізгі әдiстерi 4



бет9/19
Дата20.11.2021
өлшемі1.5 Mb.
1   ...   5   6   7   8   9   10   11   12   ...   19

Енуге тестілеу әдісі


Қазіргі уақытта енуге тестілеу сияқты осалдықтарды анықтаудың мұндай әдісі ең тиімді болып табылады. Ол шабуылдың ықтимал жолдарын анықтауға және веб - қосымшаның ымыраласуына жол бермеуге мүмкіндік береді. Енуге тестілеу әдісі сыртқы пайдаланушы, яғни әлеуетті шабуылшы тарапынан веб-бағдарламаны қарауға қолайлы. Шабуылдаушының тек әдеттегі пайдаланушы сияқты мүмкіндіктері бар деп есептеледі, яғни конфигурациялық баптауларға, веб-қосымшаның бағдарламалық кодтарына ешқандай рұқсаты жоқ және т. б. Бұл әдіс шабуылдаушының іс-әрекетіне ұқсас қате сұраныстарды қамтитын пайдаланушылық белсенділікті модельдейтін сұраныстарды жіберу арқылы веб-қосымшаның стендінде толық жұмыс істейтін веб-қосымшаларды тестілеуді жүзеге асырады.



Веб-бағдарламада осалдықтарды анықтау үшін енуді тестілеу әдісін қолданғанда үш негізгі тапсырма пайда болады:

  • веб-бағдарламаның құрылымын зерттеу және талдау;

  • веб-бағдарламаның зерттелген және жасалған құрылымы негізінде тестілік HTTP сұраулар жиынтығын жасау;

  • қауіпсіздік осалдығын анықтау үшін веб-бағдарламаның жауаптарын талдай отырып, оны айдап өту арқылы тестілік жиынтығын сынау.

Тапсырма веб-бағдарламаның құрылымын зерттеу және талдау веб- қосымшаның толық URI тізімін, параметрлер тізімін және оларға кіру әдістерін жасау, аутентификациямен қорғалған URI табу болып табылады. Бұл мәліметтер веб-бағдарламаға тестілік сұраныстар тізімін құру үшін қажет. Веб- бағдарламаның құрылымын автоматты түрде шығару үшін желілік роботтар қолданылады. Егер веб-бағдарламаның статикалық HTML беттері бар болса, жұмыс барлық қол жетімді сілтемелерді айналып өту, ал скрипттер мен формалар болған жағдайда - скриптерден гиперсілтемелер алу және формаларды толтыру болып табылады. Веб-бағдарламаның толық құрылымын зерттеу және алу барлық жағдайларда мүмкін емес - негізгі мәселе скрипттерді интерпретациялау және веб-формаларды толтыру кезінде пайда болады.

Веб-формаларды 2 топқа бөледі:

  • Мәндердің шектеулі салалары бар компоненттерді қамтитын формалар (option, selection және т. б.).

  • Мәндердің шексіз салалары бар компоненттерді қамтитын формалар (textarea).

1-типті формаларды жөнелтумен байланысты беттерді айналып өту және талдау осы формадағы өрістер мәндерінің барлық ықтимал комбинацияларын кезекпен орындау арқылы жүзеге асырылады. Шексіз мәндерді қабылдайтын формаларды айналып өту үшін келесі екі тәсілді қолданады: автоматтандырылған немесе қолмен. Процесті қолмен басқару үшін адамға беріледі. Автоматтандырылған тәсілде эвристикалық әдістер, HiWE VeriWeb сияқты сөздіктерде негізделген мәтіндік өрістерді толтыру қолданылады. Шексіз мән аймағы бар элементтерді қамтитын формалар үшін автоматтандырылған амалды пайдаланғанда, бағдарламаның барлық URI анықтауға кепілдік берілмейді. Скрипт тілінің құралдарымен жасалатын сілтемелерді қамтитын беттерді автоматты түрде аралау кезінде тек интерпретациялау ғана емес, сондай-ақ белгілі бір оқиғаларды қалыптастыру мақсатында пайдаланушы жасайтын әрекеттерді эмуляциялау қажеттілігі бар. Қазіргі уақытта бар скрипті тілдерін интерпретациялау құралдары барлық гиперсілтемелерді анықтауға кепілдік бере алмайды.

Веб-бағдарламаға сұраныстардың тестілік жинағын жасау міндеті бастапқы деректерге (кіру әдістері, қабылданатын параметрлер, URI тізімі) сәйкес сұраныстарды мүмкіндігінше осалдықтар табу үшін таңдау болып табылады. Мұндай сұраныстарды құрудың қолданыстағы тәсілдері төменде қарастырылған:

Веб-бағдарлама каталогтарының параметрлерін талдау веб- бағдарламаның құрылымына сәйкес веб-сервер мен веб-қосымшаның дұрыс емес конфигурациясымен ұштасқан типтік осалдықтар тексеріледі. Бұл тәсілге каталогтар индексін автоматты түрде құру мүмкіндігін тексеру, HTTP-әдістерін орындау, аутентификация облыстарынан тікелей ресурстарға жүгіну мүмкіндігі, веб - қосымшаның бастапқы кодтарын алу мүмкіндігі жатады. Тестілік жинағы және веб-сервердің жауаптарын талдау мақсаты осы HTTP- сұраныстар веб-қосымшада осалдықтың болуын немесе болмауын көрсету туралы дұрыс қорытынды жасау болып табылады. Бұл әдіс HTTP протоколы бойынша жұмыс істейді және веб-бағдарлама жазылған технологияға тәуелді емес.

Типтелген параметрлері бар шаблон бойынша сұрауларды генерациялау шаблон параметрлері типтелген әрбір URI үшін жасалады. Бұдан әрі белгілі бір параметрлердің мәндерін кездейсоқ таңдау арқылы берілген үлгіге сәйкес сұраныстарды автоматты түрде генерациялау жүзеге асырылады. Бұл әдіс пайдаланушы енгізген деректердің дұрыстығын тексеру қателерін анықтау үшін қолданылуы мүмкін. Бұл әдіс веб-бағдарлама жасалған технологияға байланысты емес, өйткені тек HTTP протоколының терминдерінде жұмыс істейді.

Ресурстар базасы бойынша сұраныс құру веб-қосымшада болуы мүмкін ресурстар базасы бар деп болжайды. Базадағы веб-қосымшада белгілі бір ресурстың болуы осы ресурсқа қол жеткізу мүмкіндігімен байланысты осалдықты білдіреді. Мысалы, веб-қосымшада белгілі осал CGI сценарийлері мен веб-сервердің конфигурациялық файлдарының аттары бар. Ресурстарды іздеу веб-бағдарламаның барлық құрылымы бойынша жүзеге асырылады. Барлық каталогтарға кезек тәртібінде ресурстар базасындағы барлық атаулар сұралады. Ресурстар базасы бойынша сұраныс құру тәсілі толығымен автоматты және веб-қосымшалар үшін тән осалдықтар туралы жинақталған ақпаратқа негізделеді. Бұл әдіс идентификациялаушы ақпаратты алу әдістемесінде жоғарыда қарастырылған шектеулер бар, алайда бұл әдіс әкімшілер мен бағдарламалаушылардың типтік қателіктеріне негізделген веб- бағдарламаның жаңа осалдығын анықтауға мүмкіндік береді.

Енуге тестілеу әдісінің артықшылықтары.

Енуге тестілеу әдісі басқа әдістерге қарағанда веб-қосымшаны әзірлеу технологиясына байланысты едәуір аз. Бұл әдіс шабуылдарға төзімділікті бағалауға, сондай-ақ бар кемшіліктерді анықтауға және қорғаныс құралдарын жақсарту жолдарын анықтауға мүмкіндік береді. Енуді тестілеу әдісі әзірленген веб-қосымшалардың осалдығын анықтау үшін кеңінен қолданылады, веб - қосымшаны жасау және баптау кезінде ең болмағанда типтік қателердің кемшіліктерін бағалау қажет болғанда қолдану жақсы нәтижелерге алып келеді. Бұл әдістің сөзсіз артықшылығы, ол кодтау қателерін ғана емес, веб-бағдарлама мен веб-вервердің конфигурация қателерін де анықтай отырып, баптаудан өткен және кеңейтілген веб - бағдарламаны бағалауға мүмкіндік береді.

Енуге тестілеу әдісінің кемшіліктері: осалдықтардың барлық түрлерін анықтауға кепілдік бере алмайды.


2.3 SSL сертификат және HTTPS протоколы


Google SSL сертификатының болуын іздеу нәтижелерінде торап орнына фактор ретінде пайдаланады, сонымен қатар, сертификат жіберілетін деректер сенімді шифрлау алгоритмі арқылы қорғалғанына кепілдік береді және үшінші тараптарға рұқсатсыз қарау үшін қол жетімді болмауын нығайтады.



SSL-сертификаты не үшін қажет?

SSL сертификатын пайдалану сайтқа кіретін клиентке келесідей кепілдік береді:



  • сайттағы SSL сертификатының болуы іздеу нәтижелерін рейтингі кезінде Google іздеу жүйесі арқылы ескеріледі;

  • түпнұсқалық растама. Сайт сертификатты орнатқан компанияға тиесілі;

  • хабардың құпиялылығы. Жіберілген деректерді рұқсат етілмеген тұлғалар қарауға немесе ұстауға болмайды;

  • деректердің тұтастығы. Деректер толығымен беріліп, ауыстырылуы немесе жоғалуы мүмкін емес;

SSL сертификатымен қорғалған сайт келушілерге сенім артады. SSL Сертификатты пайдалану салалары:

Құпия ақпаратты электрондық пошта арқылы беру, мұндай ақпаратты веб-сайт арқылы жинау қазіргі заманғы бизнестің ажырамас бөлігі болды. Сондықтан кез келген бизнес осы салаларда ақпарат беру қауіпсіздігіне ерекше назар аудару керек. Интернет-дүкендер мен аукциондар, төлем жүйелері, өз жұмысында пайдаланатын ақпараттық жүйелер, құпия деректерді Интернеттен беру, жеке деректерді басқаратын мемлекеттік ұйымдар. Электрондық цифрлық қолтаңба кілттерінің электронды сертификаттарын Сертификаттау Орталығы (Certification Authority, CA) деп аталатын арнайы ұйымдар шығарады. Қазіргі таңда сұранысқа ие әрі танымал сертификаттау орталықтары келесілер: Comodo, RapidSSL, GeoTrust, Thawte және Symantec.

HTTPS (HyperText Transfer Protocol Secure-дан) HTTP протоколының кеңейтілген қауіпсіздігі үшін шифрлауды қолдайтын кеңейтімі болып табылады. HTTPS протоколындағы деректер SSL немесе TLS криптографиялық хаттамалары арқылы беріледі. HTTP 80-ші TCP портымен салыстырғанда, HTTPS үшін әдепкі бойынша TCP 443 порты пайдаланылады.

HTTPS протоколының жұмыс істеу принципі

HTTPS жеке хаттама емес. Бұл шифрланған SSL және TLS тасымалдау механизмдері арқылы жұмыс істейтін қарапайым HTTP. Шифрлау құралдары пайдаланылған жағдайда және сервер куәлігі тексерілген және ол сенімді болса, онда HTTPS желілік байланыстарды тыңдауға арналған – снифферлік шабуылдардан және man-in-the-middle типті шабуылдардан қорғауды қамтамасыз етеді.

Веб-серверді https байланыстарын өңдеуге дайындау үшін, әкімші осы веб-серверге жүйеде ашық кілт сертификатын алуға және орнатуға тиіс. TLS асимметриялы шифрлау схемасын (ортақ құпия кілтті генерациялау үшін) және симметриялы (ортақ кілтпен шифрланған деректерді алмасу үшін) пайдаланады. Ашық кілт сертификаты сайттың иесіне осы ашық кілттің иелігін растайды. Ашық кілт сертификаты және ашық кілт өздігімен байланыс орнатылған кезде клиентке жіберіледі; Жеке кілт клиенттен хабарларды шифрлау үшін қолданылады.




Достарыңызбен бөлісу:
1   ...   5   6   7   8   9   10   11   12   ...   19




©melimde.com 2020
әкімшілігінің қараңыз

    Басты бет
Сабақтың тақырыбы
бойынша жиынтық
Сабақтың мақсаты
жиынтық бағалау
Сабақ тақырыбы
ғылым министрлігі
тоқсан бойынша
рсетілетін қызмет
Жалпы ережелер
бағалауға арналған
қызмет стандарты
бекіту туралы
Сабақ жоспары
Қазақстан республикасы
жиынтық бағалаудың
жиынтық бағалауға
тоқсанға арналған
Әдістемелік кешені
республикасы білім
бағалау тапсырмалары
арналған жиынтық
арналған тапсырмалар
білім беретін
туралы хабарландыру
Қазақстан республикасының
бағалаудың тапсырмалары
арналған әдістемелік
мерзімді жоспар
пәнінен тоқсанға
Қазақстан тарихы
Реферат тақырыбы
Қазақ әдебиеті
Жұмыс бағдарламасы
бағдарламасына сәйкес
болып табылады
нтізбелік тақырыптық
Мектепке дейінгі
біліктілік талаптары
оқыту әдістемесі
республикасының білім
әдістемелік ұсыныстар
мамандығына арналған
әкімінің аппараты
туралы анықтама
жалпы білім
қойылатын жалпы
жалпы біліктілік
Конкурс туралы
қазақ тілінде
білім берудің
мемлекеттік әкімшілік