Machine Translated by Google


Saytlararo so'rovni qalbakilashtirish



Download 1,74 Mb.
Pdf ko'rish
bet9/12
Sana19.07.2022
Hajmi1,74 Mb.
#824986
1   ...   4   5   6   7   8   9   10   11   12
Bog'liq
WebSecurity kitobi yaxshi

Saytlararo so'rovni qalbakilashtirish
jabrlanuvchini saytga kiruvchi so'rov qilishga
majbur qiladi

Saytlararo so‘rovni qalbakilashtirish (CSRF):
Machine Translated by Google


Jabrlanuvchi bir vaqtning o'zida Home-banking saytiga xavfsiz
ulanishga ega va boshqa saytga, masalan, bank mijozlari forumiga
tashrif buyuradi. Aytaylik, tajovuzkor zararli skriptni forumda saqlaydi
(Saqlangan XSS tomonidan) va qurbon uni yuklab oladi va ishga
tushiradi. Skript tajovuzkor tomonidan boshqariladigan bank hisobiga
katta pul xayriya qilish uchun ochiq sessiyadan foydalanadi.
Yuqoridagi rasmda (Saqlangan) CSRF misoli ko'rsatilgan.
Machine Translated by Google


- SQL Injectionga kelsak, kod nima va ishonchsiz
ma'lumotlar nima ekanligini aniq ajratib oling
– HTML kodiga kiritishdan oldin barcha ishonchsiz
satrlardan qoching


Ikkita asosiy sababga ko'ra mijoz tomonida samarali qarshi choralar
mavjud emas: 1) brauzerlar "yaxshi" skript va "yomon" skriptlarni
ajrata olmaydi; 2) biz dunyodagi barcha odamlarni xavfsizlik choralarini
ko'rishga majbur qila olmaymiz.
Server nuqtai nazaridan, biz mijozlarimizni XSS hujumidan himoya
qilishimiz kerak. Asosiy qarshi chora, SQL Injectionga kelsak, kod
nima ekanligini ishonchsiz ma'lumotlardan aniq ajratishdir. Ishlab
chiquvchilar HTML kodiga kiritishdan oldin barcha ishonchsiz
satrlardan qochishlari kerak. “Qochish” barcha maxsus HTML
belgilarini (&, <, >, ", ', /) qochish ketma-ketligidagi (mos ravishda
&, <, >, ", ', / ).
Shundan so'ng, string xavfsiz va muammosiz HTML kodini
shakllantirish uchun birlashtirilishi mumkin.
Saytlararo skript

>
& gt ;
• / bo'ladi
& # x2F;

<
& lt ;
"
bo'ladi
"
'
ga aylanadi
'

&
bo'ladi
&

Mijoz tarafida juda kam qarshi choralar

Qarshi choralar (server tomonida):
Machine Translated by Google



Download 1,74 Mb.

Do'stlaringiz bilan baham:
1   ...   4   5   6   7   8   9   10   11   12




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish