Machine Translated by Google

Download 1,74 Mb.

Pdf ko'rish

bet	2/12
Sana	19.07.2022
Hajmi	1,74 Mb.
	#824986

1 2 3 4 5 6 7 8 9 ... 12

Bog'liq
WebSecurity kitobi yaxshi

Tahdid agenti Tahdidni

Kirish
•
Tahdid Zarar yetkazish yoki boshqa dushmanlik harakati
•
Hujum vektori hujumni tashuvchi vosita (masalan, HTTP soÿrovi, IP paketi va h.k.)
•
Buzg'unchi o'rnatish uchun foydalanadigan dasturiy ta'minotdan foydalanish
•
Zaiflik ( xavfsizlik zaifligi, xavfsizlik kamchiligi) tajovuzkor hujumni o'rnatish uchun
foydalanishi mumkin bo'lgan tizimdagi nuqson
•
Tahdid agenti Tahdidni namoyon qilishi mumkin bo'lgan shaxs yoki guruh
hujum
Har bir hujum turi uchun OWASP hujum vektorining ekspluatatsiya qilish
qobiliyatini, zaiflikning tarqalishini (kamroq, keng tarqalgan), zaiflikning
aniqlanishini (tajovuzkor zaiflikni osongina topadimi yoki yo'qmi) va texnik
ta'sirning jiddiyligini baholadi.
- Hujum vektori hujum amalga oshiriladigan vositadir. Bu HTTP so'rovi,
oddiy IP-paket va boshqalar bo'lishi mumkin.
- Zaiflik (yoki xavfsizlik zaifligi, xavfsizlik kamchiligi, xavfsizlik teshigi va
boshqalar) tajovuzkor o'z hujumini o'rnatish uchun foydalanishi mumkin bo'lgan
tizimdagi nuqsondir.
Bu OWASP ning odatiy hujum sxemasi. Tahdid agenti "hujum yo'li" ni
tanlaydi, shu jumladan hujum vektori, foydalanish uchun xavfsizlik zaifligi, bekor
qilish uchun xavfsizlik nazorati, texnik va biznes ta'siri. Foydalanilgan
terminologiya quyidagilardan iborat:
- Exploit (ism) bu tajovuzkor foydalanadigan dasturiy ta'minot qismidir
- Tahdid - bu zarar etkazish yoki boshqa dushmanlik harakati.
hujumni o'rnatish uchun.
- Tahdid agenti - bu tahdidni namoyon qilishi mumkin bo'lgan shaxs yoki
guruh. Tahdid agentini modellashtirish (tahdid modeli) xavfsizlikni baholash
bosqichida juda muhimdir. Uning imkoniyatlari, niyati va oldingi faoliyati hisobga
olinishi kerak.
Machine Translated by Google

Kirish
Eng ko'p uchraydigan hujumlar va ularning
maqsadlari qaysi?
Machine Translated by Google

•
Eng mashhur hujum usullari (1999-2011):
– Noma’lum (22,5%)
– SQL injection (20,0%)
– Xizmatni rad etish (11,2%)
– Saytlararo skript (9,9%)
Kirish
http://projects.webappsec.org/w/page/13246995/Web-Hacking-Incident-Database
Haqiqat shundaki, 22,5% hollarda hujum usullari
2010 yilgi usullar:
4) Saytlararo skript (9,9%)
Webappsec.org ma'lumotlariga ko'ra, eng keng tarqalgan hujum
3) Xizmatni rad etish (11,2%)
2) SQL Injection (20,0%)
noma'lum bo'lib qolish bizga ularni kashf qilish juda qiyinligini aytadi.
1) Noma'lum (22,5% hollarda)
Machine Translated by Google

•
Eng yaxshi hujum maqsadlari (1999-2011):
– Axborotning sizib chiqishi (29,5%)
- To'xtash vaqti (13,0%)
– buzilish (12,9%)
Kirish
http://projects.webappsec.org/w/page/13246995/Web-Hacking-Incident-Database
1) Ma'lumotlarning tarqalishi (ba'zi muhim ma'lumotlarni o'g'irlash).
3) buzilish (kompaniya yoki tashkilotga ishonchni yo'qotish)
Eng keng tarqalgan hujum maqsadlari:
masalan, hisoblar, kredit kartalari va boshqalar)
2) to'xtab turish vaqti (xizmat mavjud bo'lmagan vaqt davri)
Machine Translated by Google

•
Vaqti-vaqti bilan veb zaifliklarining eng yaxshi o'ntalik
ro'yxatini e'lon qiladi
OWASP (Ochiq veb-ilovalar xavfsizligi loyihasi) - bu
Veb xavfsizligi uchun mustaqil, notijorat tashkilot. U veb-
xavfsizlik va umuman axborot xavfsizligiga oid veb-resurslar
to'plamini saqlaydi.
xavflilik tartibida.
U vaqti-vaqti bilan veb zaifliklarining eng yaxshi o'ntalik ro'yxatini e'lon qiladi,
Kirish
•
OWASP (Ochiq veb-ilovalar xavfsizligi
loyihasi)
www.owasp.org
Machine Translated by Google

•
OWASP Top-Ten 2010:
– A4: Ishonchsiz toÿgÿridan-toÿgÿri obyekt havolalari
- Va hokazo.
– A3: buzilgan autentifikatsiya va sessiya boshqaruvi
Kirish
To'g'ridan-to'g'ri ob'ektga havola ishlab chiquvchi fayl, katalog, ma'lumotlar bazasi
yozuvi yoki kalit kabi ichki amalga oshirish ob'ektiga havolani URL yoki shakl
parametri sifatida ko'rsatganda yuzaga keladi.
A2) Saytlararo skript (XSS)
Va boshqalar.
Buzg'unchi ruxsatsiz boshqa ob'ektlarga kirish uchun to'g'ridan-to'g'ri ob'ekt
havolalarini manipulyatsiya qilishi mumkin, agar kirishni boshqarish tekshiruvi
o'rnatilmagan bo'lsa.
2010 yilning eng yaxshi 10 taligi quyidagilar:
A3) Buzilgan autentifikatsiya va sessiya boshqaruvi. Bu veb-sessiyani
boshqarishdagi mantiqiy xatolik, cookie-fayllar,
va boshqalar.
OWASP ushbu ro'yxatga Xizmatni rad etishni kiritmadi, chunki bu veb-hujum
emas: u aslida OSI stekining pastki qatlamlariga (tarmoq, transport) ta'sir qiladi.
A1) Barcha shakllarda kod kiritish (SQL Injection,
Buzilgan autentifikatsiya va seans boshqaruvi PHP seansini boshqarishdagi
xatodir.
A4) Ishonchsiz to'g'ridan-to'g'ri ob'ektga havolalar
Buyruqning in'ektsiyasi, XPath in'ektsiyasi va boshqalar)
A5) Saytlararo so'rovlarni qalbakilashtirish (CSRF).
– A2: Saytlararo
skript
(XSS)
– A5: Saytlararo
so‘rovni soxtalashtirish
(CSRF)
+
Xizmatni rad etish
(DoS)
– A1: Kod kiritish
(SQL injection,
Command Injection,
XPath Injection va boshqalar)
Machine Translated by Google

Download 1,74 Mb.

Do'stlaringiz bilan baham:

1 2 3 4 5 6 7 8 9 ... 12