Buzub kiruvchining imkoniyatlari

International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND 
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30 
537 
tajovuzkor modeli) farqli o‘laroq, web-tajovuzkor tarmoq ustidan to‘liq nazoratga 
muhtoj emas va shuning uchun tarmoq ulanishlarini tinglay olmaydi yoki 
manipulyatsiya qila olmaydi. Biroq, u Internetdagi har bir ochiq web-ilovaga 
HTTP so‘rovlarini yuborish va keyinchalik uning javobini olish uchun UA yoki 
maxsus HTTP mijozidan foydalanishi mumkin. HTTP parametrlari (so‘rov ichida 
yuborilishi kerak), shuningdek sarlavhalar erkin tanlanishi yoki boshqarilishi 
mumkin. Buzg‘unchining so‘rovlari ham kechiktirilishi yoki bekor qilinishi 
mumkin va javoblarni standartga mos keladigan tarzda ko‘rib chiqish kerak emas, 
masalan, HTTP qayta yo‘naltirish javoblariga rioya qilish shart emas. Jonli ilovalar 
doirasidagi testlar uchun tajovuzkor ma’lum bir RP yoki OPda xohlagancha ko‘p 
hisoblarni ro‘yxatdan o‘tkazishi mumkin. Bundan tashqari, havolalar (masalan, 
elektron pochta orqali yuborilgan) yoki web-blog sharhlari jabrlanuvchini, 
masalan, saytlararo so‘rovni soxtalashtirish hujumlarini amalga oshirish uchun 
(manipulyatsiya qilingan) Yagona Resurs identifikatorini (URI) ochishga jalb 
qilish uchun ishlatilishi mumkin. web-ilova qismiga to‘g‘ridan-to‘g‘ri OpenID 
Connect bilan ishlamaydigan boshqa hujumlar, masalan, SQL-Injectionlari yoki 
saytlararo skript hujumlari ko‘rib chiqilmaydi. Bunga qo‘shimcha ravishda, 
tajovuzkor o‘z rolini oxirgi foydalanuvchidan faqat RP va OPga kengaytiradigan 
o‘z web-ilova(lar)ini o‘rnatishi mumkin. Ushbu qobiliyat bilan tajovuzkor RP dan 
to‘g‘ridan-to‘g‘ri OP ga yoki aksincha yuboriladigan ma’lumotlarga ta’sir 
o‘tkazishi mumkin. 

Download 5,02 Mb.

Do'stlaringiz bilan baham: