Axborot texnologiyalari, tarmoqlar va telekommunikatsiyalar

Список использованных источников

Download 5,02 Mb.

Pdf ko'rish

bet	138/222
Sana	15.11.2022
Hajmi	5,02 Mb.
	#866857

1 ... 134 135 136 137 138 139 140 141 ... 222

Список использованных источников:
1.
Westfeld, A. High capacity despite better steganalysis.
2.
A. Westfeld // in: Proceedings of the Fourth In- ternational Workshop on
Information Hiding. – 2001 – Vol. 2137. – P. 289–302.
3.
Provos, N. Defending against statistical steganalysis / N. Provos // in:
Proceedings of the 10th USENIX Security Symposium. – 2001. – P. 323–336.
4.
https://ru.wikipedia.org/wiki/Стеганография (15/04/2022)
5.
https://studbooks.net/2119288/informatika/analiz_algoritmov_stegonagrafiches
koy_zaschity_informatsii
(15/04/2022)

International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30
536
OPENID CONNECT PROTOKOLINING XAVFSIZLIK MASALALARI
Sa’dullayev Botirxo‘ja Shuxrat o‘g‘li
1
, Zokirov Odiljon Yoqubjon o‘g‘li
2

1
Muhammad al-Xorazmiy nomidagi Toshkent axborot texnologiyalari universiteti
magistranti
2
Muhammad al-Xorazmiy nomidagi Toshkent axborot texnologiyalari
universiteti dotsenti

Annatatsiya:
Mazkur maqolada OpenID Connect kirish protokoli,
shuningdek, bir nechta maxsus ishlab chiqilgan hujum senariylarini ochib beradi.
Shu bilan birga OpenID Connect xususiyatlaridan kelib chiqib, hujumlarning
oqibatlari va ularga qarshi kurashish usullari haqida ma’lumot keltirilgan.
Kalit so‘zlar:
Transport Layer Security (TLS), OpenID provayderi, Cross-
Site-Scripting (XSS), SSRF xavfsizlik, ID token, kriptografik tajovuzkor model
Buzub kirivchining maqsadlari:
Buzub kiruvchining asosiy maqsadi ishonch hosil qiluvchi tomon (RP)
xizmatiga kirishda o‘z qurboniga taqlid qilishdir. Bu keyinchalik jabrlanuvchining
himoyalangan resurslariga ruxsatsiz kirishga olib keladi. OpenID Connect
kontekstida bu jabrlanuvchi uchun berilgan ID tokenini olish va uni tegishli RPda
sotib olishni yoki RPni aldab, manipulyatsiya qilingan ID tokenini qabul qilish
uchun aldashni anglatishi mumkin, bu esa jabrlanuvchining o ʻzini namoyon qilishi
mumkin.
Taxminlar:
OpenID Connect xavfsizligining katta qismiga aloqador tomonlar o‘rtasidagi
aloqani ta’minlash uchun Transport Layer Security (TLS) dan foydalanishga
asoslangan, agar u ishlatilsa, TLSni xavfsiz deb hisoblaymiz. Misol uchun, TLS
ning joriy qilingan versiyasi yangilandi va ba’zi ma’lum bo‘lgan hujumlarga qarshi
himoyalangan, masalan, bir tomondan boshqasiga yuborilgan ma’lumotlarni
shifrini ochishi yoki manipulyatsiya qilishi mumkin bo‘lgan BEAST, Yakuniy
foydalanuvchini, masalan, CrossSite Scripting, Phishing yoki soxta TLS
sertifikatlari orqali aldash ham mo‘rilmaydi. Yakuniy foydalanuvchi tomonidan
ishlatiladigan barcha dasturiy ta’minot, masalan, foydalanuvchi agenti va bundan
tashqari, uning Operatsion tizimi buzilmagan deb hisoblanadi[1]. Shunday qilib,
tajovuzkor foydalanuvchi agenti (UA) yoki oxirgi foydalanuvchining operatsion
tizimidagi zaifliklardan foydalanish imkoniyatiga ega emas. Bundan tashqari,
protokolni jonli amalga oshirish bo‘yicha barcha testlarni manba kodi yoki amalga
oshirilgan kutubxonalarning biron bir hujjati yo‘qligi sababli qora quti sinovlari
deb hisoblash mumkin. Bundan tashqari, faqat oxirgi foydalanuvchi sifatida
harakat qilganda, tajovuzkor RPdan to‘g‘ridan-to‘g‘ri OpenID provayderiga (OP)
yoki aksincha yuborilgan har qanday ma’lumotlarni ko‘ra olmaydi yoki ta’sir qila
olmaydi.

Download 5,02 Mb.

Do'stlaringiz bilan baham:

1 ... 134 135 136 137 138 139 140 141 ... 222