Axborot texnologiyalari, tarmoqlar va telekommunikatsiyalar


Jabrlanuvchining xatti-harakati



Download 5,02 Mb.
Pdf ko'rish
bet140/222
Sana15.11.2022
Hajmi5,02 Mb.
#866857
1   ...   136   137   138   139   140   141   142   143   ...   222
Jabrlanuvchining xatti-harakati 
Xavfsizlik modelimiz doirasida jabrlanuvchi oʻzi xohlagan yoki yoʻnaltirilgan 
har bir ochiq web-ilovaga tashrif buyurishi mumkin (masalan, jabrlanuvchiga 
tajovuzkor tomonidan boshqariladigan web-ilovaga havola yuborish orqali). 
Jabrlanuvchi tomonidan qilingan bunday so‘rovlar ichidagi HTTP parametrlari aql- 
idrok yoki haqiqiylik uchun tekshirilmaydi. Fishing urinishlari, masalan, ma’lum 
web-saytni rekonstruksiya qilish, jabrlanuvchi tomonidan topiladi va shuning 
uchun uning maxfiy ma’lumotlarini oshkor qilishga olib kelmaydi[1,3]. 
Server tomonida soxtalashtirish (SSRF) 
Server tomonidagi so‘rovlarni soxtalashtirish (SSRF) hujumi tajovuzkorning 
zaif web-ilovadan ilovaning Intranet va Internetga so‘rovlar yaratish qobiliyatini 
tavsiflaydi. Odatda, SSRF xavfsizlik devori orqasida joylashgan va Internetdan 
kirish imkoni bo‘lmagan ichki xizmatlarga hujum qilish uchun ishlatiladi. 
Acunetix ma’lumotlariga ko‘ra, SSRF jiddiylik darajasi 3 zaiflikdir. OpenID 
Connect kontekstida zararli Discovery xizmatidan mijozning 
intranet 
infratuzilmasi haqida maʼlumot toʻplash va hujum vektorlarini tarqatish maqsadida 
bunday hujumlarni boshlash uchun foydalanish mumkin. Sozlash. Buzg‘unchi 
zararli Discovery xizmatini o‘rnatadi va protokol oqimi davomida mijoz 
tomonidan chaqirilgan so‘nggi nuqtalarni qaytaradi. So‘nggi nuqtalar protokol 
(http(lar), ftp, smb va boshqalar), port, yo‘l va parametrlarni ko‘rsatuvchi URL 
manzillardir. URL manzillar bilan bog‘liq hech qanday cheklovlar yo‘qligi sababli, 
ular Mijozning Intranet infratuzilmasini ko‘rsatishi mumkin. Mijoz ushbu URL 
manzillardan foydalanadi va ular bo‘yicha HTTP GET so‘rovlarini bajaradi. Shu 

International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND 
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30 
538 
tarzda, Mijoz, masalan, REST-ga asoslangan ichki web-xizmatlarni ishga 
tushirishga majburlanishi mumkin. Buzg‘unchining bu qobiliyati tajovuzkor 
modeli tomonidan ko‘rib chiqiladi, chunki tajovuzkor o‘zining UA-dan 
foydalanishi va har bir ochiq domenga o‘zboshimchalik bilan HTTP so‘rovlarini 
yuborishi mumkin.[2] Shunday qilib, u Mijozni zararli Discovery xizmati bilan 
aloqa o‘rnatishiga sabab bo‘lishi mumkin. Hujum tavsifi. Malicious Endpoint 
hujumi bilan solishtirganda, endi tajovuzkor o‘z identifikatorini (masalan, OS) 
kiritish orqali mijozda OpenID Connect autentifikatsiyasini boshlaydi. 

Download 5,02 Mb.

Do'stlaringiz bilan baham:
1   ...   136   137   138   139   140   141   142   143   ...   222



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling
kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha

yuklab olish