Axborot texnologiyalari, tarmoqlar va telekommunikatsiyalar



Download 5,02 Mb.
Pdf ko'rish
bet141/222
Sana15.11.2022
Hajmi5,02 Mb.
#866857
1   ...   137   138   139   140   141   142   143   144   ...   222
Kod kiritish hujumlari 
Mijozning veb-interfeysi orqali yuborilgan foydalanuvchi ma’lumotlari 
odatda ishonchsiz deb hisoblanadi va shuning uchun Cross-Site-Scripting (XSS) va 
SQL-Injection kabi hujumlarning oldini olish uchun filtrlanadi. Mavjud filtrni 
chetlab o‘tish uchun tajovuzkor hujumlar vektorlarini kiritish uchun boshqa 
kanallardan foydalanishi mumkin, masalan, 3-bosqichda server-server aloqasi. 
O‘rnatish. Buzg‘unchi o‘z serverini (autentifikatsiya qilingan foydalanuvchi 
haqidagi ma’lumotlar) qaytarilgan xabarlarga ID tokeni va kirish tokeni doirasida 
mijozga yuboriladigan zararli tarkibni kiritish uchun sozlaydi. Shuni sedan 
chiqarmaslik kerakki, zararli server tomonidan qaytarilgan ID tokeni va kirish 
tokeni spetsifikatsiyaga muvofiq amal qiladi, chunki “sub”, “name” yoki 
“preferred_username” kabi parametrlarning qiymatlariga nisbatan hech qanday 
cheklovlar yoʻq. Hujum tavsifi. Dastlab, tajovuzkor o‘z identifikatorini (masalan, 
oskar@mali.ru) kiritish orqali mijozda OpenID Connect autentifikatsiyasini 
boshlaydi. U boshida protokolni bajarishda davom etadi. Keyin zararli server 
hujum vektorlarini o‘z ichiga olgan tokenlar (ID Token va Access Token) bilan 
javob beradi [3]. 
1-rasm. Zararli Discovery xizmati tomonidan qaytarilgan oxirgi nuqtalar 
Kirish tokenida berilgan "nomda" yashirin XSS hujum vektoriga misol. 
Endi joylashtirilgan XSS hujum vektori web-ilovada (doimiy XSS) saqlanadi. 
Mijozdagi boshqa web-sahifalar undan, masalan, mehmonlar kitobi sahifasida 
foydalanadi va boshqa sahifaga tashrif buyuruvchilarga zarar yetkazishi uchun 
kodni joylashtiradi. Xuddi shu sxema SQL-Injection hujum vektorlarini 
joylashtirish uchun ishlatilishi mumkin. 
Adabiyotlar ro‘yxati: 
[1]
Dmitry Chastukhin Alexander Polyakov. Ssrf vs. business-critical applications: 
Xxe tunneling in sap. BlackHat, 2012. 
[2]
Adam Barth, Collin Jackson, and John C. Mitchell. Securing frame 
communication in browsers. Communications of the ACM - One Laptop Per 

International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND 
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30 
539 
Child: 
Vision 
vs. 
Reality, 
52:83–91, 
June 
2009. 
URL 
http://seclab.stanford.edu/websec/frames/post-message.pdf. 1.1.3
[3]
The OpenID Foundation (OIDF). OpenID Connect Core 1.0, February 2014. 
URL http: //openid.net/specs/openid-connect-core-1_0.html. 

Download 5,02 Mb.

Do'stlaringiz bilan baham:
1   ...   137   138   139   140   141   142   143   144   ...   222



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling
kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha

yuklab olish