Respublikasi axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot


 BOB. DASTURIY VOSITALAR XAVFSIZLIGI



Download 4,35 Mb.
Pdf ko'rish
bet111/203
Sana14.01.2022
Hajmi4,35 Mb.
#363640
1   ...   107   108   109   110   111   112   113   114   ...   203
Bog'liq
fayl 1714 20210831

6 BOB. DASTURIY VOSITALAR XAVFSIZLIGI 
6.1. Dasturiy vositalardagi xavfsizlik muammolari 
Dasturiy  vositalar  xavfsizligi  hozirgi  kunda  kelib,  axborot  xavfsizligining 
kriptografiya,  ruxsatlarni  nazoratlash  va  xavfsizlik  protokollari  kabi  muhim 
sohalaridan hisoblanadi.  Bunga asosiy sabab, axborotning vertual xavfsizligi dasturi 
vositalar  orqali  amalga  oshirilishi  bilan  belgilanib,  agar  dasturiy  vosita  tahdidga 
uchragan taqdirda, xavfsizlik mexanizmi ham barbod bo’ladi. 
Barcha  dasturiy  vositalarda  zaifliklar  mavjud  bo’lib,  ularning  muhimlik 
darajalari turlicha. Masalan, qiymati 165 mil. $ ni tashkil etgan NASA Mars Lander, 
Mars  sayyorasi  yuzasiga  qo’nish  vaqtida  halokatga  uchragan.  Bunga  sabab  esa, 
oddiy  ingliz  va  metr  uzunlik  o’lchovlari  orasidagi  farq  bo’lgan.  Bundan  tashqari, 
Denver xalqaro ayeroportidagi yuklarni boshqarish tizimida foydalanilgan dasturiy 
vositadagi kamchilik natijasida, 11 oy davomida kuniga 1 mil. $ dan zarar ko’rilgan. 
Bundan  tashqari,  so’ngi  yillarda  ushbu  zaiflik  muammolarining  soni  va 
jiddiylik  darajalari  ortib  bormoqda.  Xususan,  75-rasmda  Positive Technologies 
tashkiloti tomonidan veb saytlardagi turli darajadagi zaifliklarni yillar kesimida ortib 
borishi keltirilgan. 
 
75 – rasm. Turli darajadagi zaifliklarga ega bo’lgan Veb-saytlar soni [3] 
2019  yilda  veb  saytlarda  mavjud  muammolarning  jiddiyligi  bo’yicha 
taqsimoti 76-rasmda keltirilgan. 
68 
70 
58 
52 
67 
50 
90 
100 
97 
100 
93 
84 
80 
50 
67 
74 
100 
89 
 -
  20
  40
  60
  80
  100
  120
2014
2015
2016
2017
2018
2019
Yuqori
O'rta
Past


200 
 
 
76-rasm. Veb sayt muammolarining jiddiylik bo’yicha taqsimoti 
O’tgan  yilda  veb  saytlarda  keng  tarqalgan  zaifliklar  va  ularning  ulishi  esa 
OWASP (Open Web Application Security Project) tomonidan berilgan ma’lumotga 
ko’ra esa quyidagicha bo’lgan (77-rasm). 
 
77-rasm. OWASP tashkiloti tomonidan 2019 yilda uchragan zaifliklar va ularning 
ulushi 
Yuqorida  keltirilgan  zaifliklar  natijasida  hujumchilar  tomonidan  quyidagi 
turli ma’lumotlarni qo’lga kiritish maqsad qilingan (78-rasm). 
19%
55%
26%
Yuqori
O'rta
Past
84
53
45
37
29
13
13
5
0
10
20
30
40
50
60
70
80
90
А6 
- Xavfsizlik sozlanmalarining noto'g'riligi
A7 - XSS (Cross-Site Scripting) zaifligi
A2 - Nojoiz autentifikatsiya
А5 
- Nojoiz ruxsatlarni nazoratash
A1 - Inyeksiya
А9 
- No'malum zaifliklar bilan bog'liq muammolar
А3 
- Maxfiy axborotni oshkor bo'lishi
А4 
- XXE (XML External Entities) zaifligi


201 
 
 
78-rasm. Zaifliklar natijasida qo’lga kiritish maqsad qilingan ma’lumotlar 
Dasturiy  mahsulotlarda  xavfsizlik  muammolari.
  Dasturiy  vositalardagi 
mavjud tahdidlar odatda dasturlash tillari imkoniyatlari bilan belgilanadi. Masalan, 
nisbatan quyi dasturlash tillari dasturchidan yuqori malakani talab etgani bois, ularda 
ko’plab  xavfsizlik  muammolari  paydo  bo’ladi.  Masalan, C# va  Java  dasturlash 
tillarida  ko’plab  muammolar  avtomatik  ravishda  kompilyasiya  jarayonida 
aniqlangani bois C yoki C++ dasturlash tillariga nisbatan xavfsiz hisoblanadi. 
Odatda zararli dasturiy vositalar ikki turga bo’linadi: 

 
dasturlardagi zaifliklar (atayin yaratilmagan); 

 
zararkunanda dasturlar (atayin yaratilgan). 
Birinchi turga asosan, dasturchi tomonidan yo’l qo’yilgan xatolik natijasida 
kelib chiqqan dasturlardagi muammolar misol bo’lsa, ikkinchi turga buzg’unchilik 
maqsadida yozilgan maxsus dasturiy mahsulotlar (masalan, viruslar) misol bo’ladi. 
Dasturiy vositalarda xavfsizlik muammolarini mavjudligi bir nechta omillar 
bilan belgilanadi: 

 
dasturiy 
vositalarning 
ko’plab 
dasturchilar 
tomonidan 
yozilishi 
(komplekslilik); 

 
dasturiy mahsulotlar yaratilishida inson ishtiroki; 

 
dasturchining malakasi yuqori emasligi; 

 
dasturlash tillarining xavfsiz emasligi. 
Dasturiy  vositalar  bir  nechta  million  qator  kodlardan  iborat  bo’lib,  bu  o’z 
navdatida  xavfsizlik  muammosini  ortishiga  sababchi  bo’ladi  (12-jadval).  Boshqa 
47
31
14
6
2
Shaxsiy ma'lumotlar
Foydalanuvchi ruxsati
Foydalanuvchi identifikatori
Sessiya Idlari
Ilova ochiq kodi


202 
 
so’z bilan aytganda, katta dasturiy vositalar ko’plab dasturchilar tomonidan yoziladi 
va yakunda biriktiladi. Agar dasturchilar orasidan bittasining bilim darajasi yetarli 
bo’lmasligi,  yakunda  butun  dasturiy  vositani  xavfsizligini  yo’qqa  chiqarishi 
mumkin.  
12 - jadval 

Download 4,35 Mb.

Do'stlaringiz bilan baham:
1   ...   107   108   109   110   111   112   113   114   ...   203




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish