Printsiplar, siyosatlar va himoya Dasturiy ta'minot xavfsizligi



Download 3,9 Mb.
Pdf ko'rish
bet1/55
Sana07.04.2022
Hajmi3,9 Mb.
#534884
  1   2   3   4   5   6   7   8   9   ...   55
Bog'liq
1. M.Payer. Software Security



Printsiplar, siyosatlar va himoya
Dasturiy ta'minot xavfsizligi
Mathias Payer
2021-yil iyul, 0.37-v
Machine Translated by Google


.
.
.
.
4.2.1 Fazoviy xotira xavfsizligi.
.
2.7 Xulosa. .
.
.
.
.
. . . . . 11
.
.
.
. . . . . 27
. . . . .
. . . . . 17
.
.
.
.
.
.
.
.
2.6 Xato va zaiflik.
. . . . . 13
4.2 Xotira xavfsizligi.
.
.
9
.
.
.
.
.
.
.
. . . . . 26
.
.
.
.
3.6 Xulosa. .
.
.
2.5 Tahdid modeli.
. . . . . 12
.
.
.
7
.
4.1 Pointer imkoniyatlari.
.
.
.
.
.
.
.
.
.
.
3.5 Zamonaviy dasturiy ta'minot muhandisligi.
. . . . . 25
.
.
.
.
6
ii
.
.
.
.
.
. . . . . 33
.
.
.
.
.
3.4 Doimiy yangilanishlar va yamalar.
.
.
.
.
.
2.4 Bo'limlarga bo'lish.
. . . . . 24
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . 32
.
3.3 Dasturiy ta'minotni sinovdan o'tkazish.
.
.
.
.
2.3 Eng kam imtiyoz.
.
.
.
2 Dasturiy ta'minot va tizim xavfsizligi tamoyillari
.
. . . . . 23
.
.
.
.
.
.
.
.
.
.
.
. . . . . 30
2.2 Izolyatsiya. . .
.
.
.
.
1
.
.
.
.
.
.
.
. . . . . 21
.
.
.
.
.
.
3.2 Dasturiy ta'minotni amalga oshirish.
.
.
2.1 Maxfiylik, yaxlitlik va mavjudlik. . .
.
.
28
1.Kirish
.
.
.
.
.
.
.
.
.
.
.
20
3 Xavfsiz dasturiy ta'minotning hayot
aylanishi 3.1 Dasturiy ta'minot dizayni.
.
.
.
.
.
.
.
.
.
4 Xotira va tur xavfsizligi
.
.
. . . . . 19
Tarkib
Machine Translated by Google


.
.
.
.
5.5 Xulosa. .
iii
5.2 Axborot sizib chiqishi.
.
.
.
.
.
6.3.2 Sanitizerlar.
.
.
.
.
.
.
.
.
.
.
.
.
. . . 83
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . 65
.
.
.
.
. . . . . 47
.
.
.
5.4.3 Kodni qayta ishlatish.
.
.
.
.
.
.
.
4.4 Xulosa. .
.
6.4.3 Stackning yaxlitligi. . . . . . 87
.
.
.
.
.
.
.
.
.
.
.
6.4.1 Ma'lumotlar bajarilishini oldini olish (DEP)/WˆX 82
.
.
6.2 Tilga asoslangan xavfsizlik.
.
.
. . . . . 54
4.2.3 Xotira xavfsizligi ta'rifi.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . 61
.
.
.
.
.
.
. . . . . 46
.
5.4.2 Kod kiritish.
.
.
.
5.4 Imtiyozlarni oshirish.
. . . . . 58
.
.
.
.
.
.
.
6.4.5 Manbani mustahkamlash.
. . . . . 50
.
6.3.4 Ramziy ijro.
Tarkib
.
. . . . . 40
.
.
.
.
.
.
.
. . . . . 44
.
.
.
.
.
.
.
.
.
. . . 93
.
.
.
. . . 35
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
5.3 Chalkashib ketgan deputat.
.
.
.
.
6.4.4 Xavfsiz istisnolardan foydalanish (SEH).
.
.
6.3.3 Xiralashish.
. . . . . 48
.
58
.
.
.
. . . . . 57
.
(ASLR).
.
4.3 Xavfsizlik turi.
. . . 36
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . 68
5 Hujum vektorlari
5.1 Xizmatni rad etish (DoS) .
6.3.1 Qo'lda sinovdan o'tkazish.
.
.
.
.
.
.
.
. . . . . 96
.
.
.
.
.
.
.
.
.
.
.
.
46
.
.
.
5.4.1 Boshqaruv oqimini o'g'irlash.
.
.
6.4.2 Manzil fazosi tartibini tasodifiylashtirish
.
6.3 Sinov. . .
. . . 56
4.2.4 Amaliy xotira xavfsizligi. . . . . . 36
. . . . . 60
.
.
.
. . . . . 59
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . 77
.
6 Mudofaa strategiyalari
6.1 Dasturiy ta'minotni tekshirish.
.
.
.
.
. . . 52
.
.
4.2.2 Vaqtinchalik xotira xavfsizligi.
.
.
6.4 Yumshatish choralari. . . . . . 81
Machine Translated by Google


. . . 110
.
.
105
.
.
.
7.1.4 SQL in'ektsiyasi.
Ma'lumotnomalar
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . 120
.
. . . . . 118
.
7.1.3 Buyruqni kiritish.
.
.
.
.
.
.
.
9 Minnatdorchilik
.
. . . . . 119
.
.
.
.
.
.
7.2.3 Ruxsat modeli.
7.1.2 Brauzer xavfsizligi. . . . . . 108
.
. . . . . 117
.
.
. . . . . 97
.
.
.
.
.
.
.
.
.
.
.
.
7.2.2 Android bozori.
119
.
.
Izolyatsiya .
.
.
.
.
.
.
.
.
.
.
.
.
.
7.2.1 Android tizimi xavfsizligi.
.
8.2.2 Format satrining zaif tomonlari. . . . . . 121
.
.
7.1.1 Uzoq muddatli xizmatlarni himoya qilish. . . . 106
.
.
.
.
.
.
.
.
.
.
.
.
.
7.2 Mobil xavfsizlik. . . . . . . . 115
.
. . . . . 102
.
7 Case Studies
7.1 Veb xavfsizligi.
.
iv
6.4.8 Sandboxing va dasturiy ta'minotga asoslangan xato
8.2.1 ROPdan o'tish: Boshqarish-oqim egilishi 120
.
6.5 Xulosa. .
.
.
.
.
.
.
.
7.1.6 Saytlararo so'rovni qalbakilashtirish (XSRF). . 114
.
.
.
.
.
.
.
6.4.7 Kod ko'rsatkichining yaxlitligi.
.
.
.
.
8.2 ROP zanjirlari.
.
123
.
.
.
.
.
. . . . . 104
.
.
.
. . . . . 115
.
.
6.4.6 Boshqarish-oqimning yaxlitligi.
.
. . . . . 112
.
.
.
.
122
.
. . . . . 105
8 Qo'shimcha
8.1 Shellcode. .
.
. . . 102
.
7.1.5 Saytlararo skript yaratish (XSS). . . . . . 113
.
Tarkib
.
.
.
.
.
.
.
.
Machine Translated by Google


Xavfsizlik va ayniqsa tizim va dasturiy ta'minot xavfsizligi bilan bog'liq muammolar
hayotimizning barcha sohalarini qamrab oladi. Biz murakkab interyer bilan o'zaro aloqadamiz
dasturiy ta'minotdan foydalanadigan keng tarqalgan qurt epidemiyasi uchun zararli dasturiy
ta'minotni o'rnatish uchun ishonchli foydalanuvchini suiiste'mol qiladigan infektsiyalar
bir tizimdan ikkinchisiga avtomatik ravishda tarqalishi uchun
zaifliklar . Dasturiy ta'minot xavfsizligi (yoki uning etishmasligi) asosidir
1.Kirish
zaifliklar mavhumlikning barcha qatlamlarini kesib o'tadi va
vektorlar. Hujum vektori shunchaki tajovuzkor uchun kirishdir
inson omillari, foydalanish imkoniyati, unumdorlik, tizim abstraktsiyalari va
iqtisodiy muammolarni o'z ichiga oladi. Raqiblar nishonga olishlari mumkin
tajovuzkor himoyachi esa tizimni buzishi uchun
Har qanday yangiliklar tasmasini ko'rib chiqish, ehtimol, o'quvchi
berilgan tahdidga muvofiq har qanday mumkin bo'lgan hujumni ko'rib chiqishi kerak
bu hujumlarning barchasi.
model.
1
xavfsizlik keng maydon bo'lib, hikoyalar zararli dasturlardan iborat bo'lishi mumkin
Lekin nima uchun dasturiy ta'minot xavfsizligi shunchalik qiyin? Javob murakkab.
Xavfsizlikdan himoya qilish va undan foydalanish
hujumni amalga oshirish, ya'ni himoyada ochilish imkonini beradi
Eng zaif bo'g'in bo'lgan himoyachilar barcha mumkin bo'lgan hujumlarni amalga oshirishlari kerak
tajovuzkor ko'zda tutilmagan kirish huquqiga ega bo'lishi uchun. Bitta kamchilik etarli
dasturiy ta'minot xavfsizligi bilan bog'liq bir nechta hikoyalarga duch keladi. Dasturiy ta'minot
Machine Translated by Google


muntazam ravishda ulangan dasturiy ta'minot tizimlari. Ushbu tizimlardagi
xatoliklar yoki nuqsonlar maÿlumotlarimizga ruxsatsiz kirish imkonini
beradi yoki zararli dasturlarni oÿrnatish kabi imtiyozlarni oshiradi. Xavfsizlik
har bir inson hayotiga ta'sir qiladi, masalan, foydalanuvchi uchun xavfsiz
qarorlar qabul qilish juda muhimdir. Axborot tizimini boshqarish uchun
mavhumlikning bir nechta qatlamlari bo'ylab odamlar birgalikda ishlashlari
kerak: menejerlar, ma'murlar, ishlab chiquvchilar va xavfsizlik tadqiqotchilari.
Keksa odam xavfsizlik yechimiga qancha pul sarflashni yoki qanday
xavfsizlik mahsulotini sotib olishni o'zi hal qiladi. Ma'murlar kimga qanday
imtiyozlar berilishini diqqat bilan o'ylab ko'rishlari kerak. Ishlab chiquvchilar
ma'lum bir kirish siyosati asosida ma'lumotlarning yaxlitligi, maxfiyligi va
mavjudligini himoya qilish uchun xavfsiz tizimlarni loyihalashlari va
qurishlari kerak . Xavfsizlik bo'yicha tadqiqotchilar kamchiliklarni aniqlaydilar
va zaif tomonlar, zaifliklar yoki tizimli hujumlarga qarshi choralarni taklif qiladilar.
Xavfsizlik - bu ma'lumotlar va resurslarga nisbatan himoya mexanizmlari
orqali siyosatlarni qo'llash va amalga oshirish . Xavfsizlik siyosatlari biz
nimani qo'llashni xohlayotganimizni belgilaydi . Mudofaa mexanizmlari
siyosatni qanday qo'llashimizni belgilaydi (ya'ni, siyosatning amalga
oshirilishi/namunasi ). Misol uchun, ma'lumotlarning bajarilishini oldini olish
- bu jarayonning manzil maydonidagi jismoniy xotiraning har bir sahifasini
yozilishi yoki bajarilishini kafolatlash orqali kod yaxlitligi siyosatini amalga
oshiradigan mexanizm, lekin hech qachon ikkalasi ham bo'lmaydi. Dasturiy
ta'minot xavfsizligi - bu (i) sinovdan o'tkazish, (ii) baholash, (iii)
takomillashtirish, (iv) ta'minlash va (v) dasturiy ta'minot xavfsizligini
isbotlashga qaratilgan xavfsizlik sohasi .
vektorlar.
1.Kirish
2
Tushunishning umumiy asosini shakllantirish va dasturiy ta'minot
xavfsizligini ta'minlash uchun ushbu kitob birinchi navbatda asosiy
xavfsizlik tamoyillarini kiritadi va belgilaydi . Ushbu tamoyillar maxfiylikni,
Machine Translated by Google


yaxlitlik va nima himoya qilinishi kerakligini aniqlash uchun
mavjudlik, mudofaa yondashuvlarini tushunish uchun qismlarga
ajratish, mavhum hujumchilar va xatti-harakatlar haqida fikr yuritish
uchun tahdid modellari, xatolar va zaifliklar o'rtasidagi farqlar.
Xavfsiz dasturiy ta'minotning hayot aylanishini muhokama qilishda biz
eng yaxshi amaliyot amaliyotiga, uzluksiz integratsiyaga va dasturiy
ta'minotni sinovdan o'tkazishga, xavfsiz dasturiy ta'minot yangilanishlariga
o'tishdan oldin , talablarning aniq ta'rifi va dasturiy ta'minotning
funktsional dizayni bilan dizayn bosqichini baholaymiz. Asosiy e'tibor
aniq dasturiy ta'minot muhandisligiga emas, balki ushbu jarayonlarning
xavfsizlik jihatlariga qaratilgan.
Mudofaa strategiyalari bo'limida ilovalarni dasturiy ta'minot xavfsizligi
buzilishidan himoya qilish uchun turli yondashuvlar ro'yxati keltirilgan .
Mudofaa strategiyalari dasturiy ta'minotning funktsional to'g'riligini tekshirish
va turli xil sinov strategiyalari bilan muayyan dasturiy ta'minot kamchiliklarini
sinab ko'rish uchun turli yondashuvlarga qaratilgan. Sanitizerlar ilovalarni
to'xtatish orqali sinov paytida dasturiy ta'minotdagi kamchiliklarni aniqlashga yordam beradi
Xotira va turdagi xavfsizlik dasturiy ta'minot haqida semantik fikr
yuritishga imkon beruvchi asosiy xavfsizlik siyosati hisoblanadi .
Agar xotira va turdagi xavfsizlik ta'minlangan bo'lsa, biz dasturiy
ta'minotning to'g'riligini uning amalga oshirilishiga qarab taxmin
qilishimiz mumkin. Ushbu siyosatlarning har qanday buzilishi
tajovuzkorga ilovaning ichki holatini buzishga va g'alati mashinani
ishga tushirishga imkon beruvchi istisno xatti-harakatlarga olib
keladi . Ilova holati buzilganligi sababli, g'alati mashinalar endi
manba kodida belgilangan dasturning kutilgan holatga o'tishlariga
amal qilmaydi. G'alati mashinaning bajarilish izi har doim dasturni
boshqarish oqimi (yoki ma'lumotlar oqimi) cheklovlaridan chiqish
uchun asosiy xavfsizlik siyosatining buzilishiga olib keladi.
1.Kirish
3
Machine Translated by Google


qoidabuzarlik aniqlanganda. Oxirgi mudofaa chizig'i sifatida yumshatishlar
tizimning mavjudligini qurbon qilish orqali uning yaxlitligini ta'minlashga
yordam beradi . Yumshatishlar dasturdagi qo'shimcha asboblar orqali
siyosat buzilishini aniqlash orqali noma'lum yoki tuzatilmagan nuqsonni
to'xtatadi .
Brauzer xavfsizligi, veb xavfsizligi va mobil xavfsizlikni dasturiy ta'minot
va tizim xavfsizligi nuqtai nazaridan muhokama qilish orqali kitobni bir
qator amaliy tadqiqotlar yakunlaydi.
1.Kirish
4
Ushbu kitob dasturiy ta'minot xavfsizligi status-kvosini tushunishga
qiziqqan o'quvchilar uchun, xavfsiz dasturiy ta'minotni ishlab chiqish,
xavfsiz kod yozish va asosiy tizim xavfsizligini doimiy ravishda
kafolatlashni xohlaydigan ishlab chiquvchilar uchun mo'ljallangan. Biz bir
nechta tadqiqot mavzularini muhokama qilsak va chuqurroq tadqiqot
savollariga havolalar beramiz, ammo bu kitob tadqiqotga yo'naltirilgan
emas, balki dasturiy ta'minot xavfsizligi sohasida boshlash uchun
dastlabki ma'lumotlar manbai bo'lib xizmat qiladi .
Hujum vektorlari bo'limida turli xil zarba turlari muhokama qilinadi.
Adashgan o‘rinbosardan boshlab, ma’lumotlar sizib chiqishiga bo‘limni
ishga tushirish uchun ma’lum bir API’dan suiiste’mol qiladi yoki xotiradan
foydalanadigan boshqaruv oqimini o‘g‘irlash hujumlari uchun imtiyozlardan
voz kechadi va ilovaning boshqaruv oqimini tajovuzkor tanlagan joylarga
yo‘naltirish uchun xavfsizlik masalalarini yozing . Kodni kiritish va kodni
qayta ishlatish, tajovuzkor tomonidan boshqariladigan kodni dasturning
manzil maydoniga kiritish uchun dasturni qayta o'tkazadi.
Rad etish: bu kitob mutlaqo mukammal va benuqson emas.
Imlo xatolari, til xatolari, matn xatolari, faktik xatolar yoki boshqa
kamchiliklarni topsangiz, mas'uliyatli ochish strategiyasiga amal qiling va
bizga xabar bering. Biz mamnuniyat bilan yangilaymiz
Machine Translated by Google


matn yozing va kitobni hamma uchun yaxshiroq qiling.
1.Kirish
O'qishdan rohatlaning va sayyorani hack qiling!
5
Machine Translated by Google


Dasturiy ta'minot xavfsizligining maqsadi dasturiy ta'minotdan har
qanday maqsadli foydalanishga ruxsat berish, lekin har qanday
maqsadsiz foydalanishning oldini olishdir. Bunday noto'g'ri
foydalanish zarar etkazishi mumkin. Ushbu bobda biz xavfsiz
dasturiy ta'minot tizimlarini yaratishda muhim bo'lgan bir nechta
tizim tamoyillarini muhokama qilamiz . Maxfiylik, yaxlitlik va
mavjudlik xavfsiz tizimning turli xossalarini qayta tekshirish
imkonini beradi . Izolyatsiya komponentlar orasidagi ajratishni
ta'minlaydi, shunda o'zaro ta'sir faqat kirish ibtidoiylari haqida fikr
yuritishga imkon beruvchi belgilangan interfeys bo'ylab mumkin.
Eng kam imtiyozlar har bir dasturiy ta'minot komponentining
minimal imtiyozlar miqdori bilan ishlashini ta'minlaydi . Bo'limlarga
bo'lish jarayonida murakkab dasturiy ta'minot kichikroq qismlarga
bo'linadi. Izolyatsiya va bo'linish birgalikda o'ynaydi, katta
murakkab tizim keyinchalik bir-biridan ajratilgan kichik qismlarga
bo'linadi . Tahdid modeli tajovuzkorning imkoniyatlarini ko'rsatib, dasturiy ta'minot tizimining muhitini belgilaydi .
Dasturiy ta'minotdagi xatolar va zaifliklar o'rtasidagi farq bizga ma'lum bir
nuqson xavfi haqida qaror qabul qilishga yordam beradi .
6

Download 3,9 Mb.

Do'stlaringiz bilan baham:
  1   2   3   4   5   6   7   8   9   ...   55




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish