Printsiplar, siyosatlar va himoya Dasturiy ta'minot xavfsizligi

Download 3,9 Mb.

Pdf ko'rish

bet	24/55
Sana	07.04.2022
Hajmi	3,9 Mb.
	#534884

1 ... 20 21 22 23 24 25 26 27 ... 55

Bog'liq
1. M.Payer. Software Security

5.4 Imtiyozlarni oshirish
50
5 ta hujum vektori
Imtiyozlarning kuchayishi - bu imtiyozlarning ko'zda tutilmagan ko'payishi
( ishlab chiquvchi nuqtai nazaridan). Imtiyozlarni oshirishga misol qilib,
o'zboshimchalik bilan kod bajarilishini olish mumkin. Xizmatga kirishdan
boshlab va xizmat tomonidan taqdim etilgan funktsiyalar bilan
chegaralangan holda, tajovuzkor o'zboshimchalik bilan kod bajarilishiga
o'tadi, bu erda u ushbu xizmatning barcha fayllari, imtiyozlari va tizim
chaqiruvlariga to'liq kirish huquqiga ega. Imtiyozlarni oshirishning yana
bir misoli - bu faqat administratorga tegishli bo'lgan fayllarni, masalan,
veb-interfeysning noto'g'ri konfiguratsiyasi orqali o'zgartirishi mumkin
bo'lgan imtiyozsiz foydalanuvchi.
Imtiyozlarni oshirishning bir necha shakllari mavjud bo'lsa-da, biz xotira
yoki turdagi xavfsizlik buzilishiga asoslangan imtiyozlarni oshirishga
e'tibor qaratamiz . Har bir bunday hujum xotira yoki turdagi xavfsizlik
buzilishi bilan boshlanadi. Agar ob'ektga chegaradan tashqari kirish
bo'lsa, fazoviy xotira xavfsizligi buziladi . Agar ob'ekt endi yaroqsiz
bo'lsa, vaqtinchalik xotira xavfsizligi buziladi . Agar ob'ekt boshqa (mos
kelmaydigan) turdagi sifatida tashlansa va foydalanilsa, tur xavfsizligi
buziladi . Ushbu xato turlarining har biri dastur holatini qayta sozlash
imkonini beradi, bu esa dasturning qonuniy kodi buzilgan holatda harakat
qilganda imtiyozlarning kuchayishiga olib kelishi mumkin . Dasturiy
ta'minot xavfsizligida ushbu qoidabuzarliklar boshqaruv oqimini o'g'irlash
uchun ishlatiladi . Boshqaruv oqimi kiritilgan kodga yoki ko'zda tutilmagan
usullarda qayta ishlatiladigan mavjud kodga yo'naltiriladi. Shu bilan bir
qatorda, ular ma'lumotlarni buzish uchun ishlatilishi mumkin . 5.2-rasmda
kodning buzilishi va boshqaruv oqimini o'g'irlash hujumlari uchun hujum
oqimi bo'ylab chetlab o'tilishi kerak bo'lgan turli yumshatishlar bilan
hujum qilish mumkin bo'lgan turli yo'llar ko'rsatilgan.
Machine Translated by Google

Oqimning yaxlitligi
Butunlik
Yomon narsalar
Maxfiylik
Xotira xavfsizligi
o'g'irlash
Nazorat - oqim
Faqat maÿlumotlar uchun
Kod
korruptsiya
'*' operatorning manzilidan
voz kechishni belgilaydi; tuzatuvchi. Hujum yo'li
himoyani chetlab o'tishi kerak
5.2-rasm: Xotira buzilishining hujumlar oqimi . "C" kodga, "D"
ma'lumotlarga mos keladi; '&' belgilari
*&D
D
&D
*D
Xotiraning buzilishi
C
*&C
*C
& C
5 ta hujum vektori
51
mavhumlikning turli darajalarida: yaxlitlik, maxfiylik va oqim
yaxlitligi.
Machine Translated by Google

Download 3,9 Mb.

Do'stlaringiz bilan baham:

1 ... 20 21 22 23 24 25 26 27 ... 55