Printsiplar, siyosatlar va himoya Dasturiy ta'minot xavfsizligi
Download 3,9 Mb. Pdf ko'rish
|
1. M.Payer. Software Security
- Bu sahifa navigatsiya:
- 2 Dasturiy taminot va tizim xavfsizligi tamoyillari
- 6 Mudofaa strategiyalari
- 1.Kirish zaifliklar mavhumlikning barcha qatlamlarini kesib otadi va vektorlar.
|
Printsiplar, siyosatlar va himoya Dasturiy ta'minot xavfsizligi Mathias Payer 2021-yil iyul, 0.37-v Machine Translated by Google . . . . 4.2.1 Fazoviy xotira xavfsizligi. . 2.7 Xulosa. . . . . . . . . . . 11 . . . . . . . . 27 . . . . . . . . . . 17 . . . . . . . . 2.6 Xato va zaiflik. . . . . . 13 4.2 Xotira xavfsizligi. . . 9 . . . . . . . . . . . . 26 . . . . 3.6 Xulosa. . . . 2.5 Tahdid modeli. . . . . . 12 . . . 7 . 4.1 Pointer imkoniyatlari. . . . . . . . . . . 3.5 Zamonaviy dasturiy ta'minot muhandisligi. . . . . . 25 . . . . 6 ii . . . . . . . . . . 33 . . . . . 3.4 Doimiy yangilanishlar va yamalar. . . . . . 2.4 Bo'limlarga bo'lish. . . . . . 24 . . . . . . . . . . . . . . . . . 32 . 3.3 Dasturiy ta'minotni sinovdan o'tkazish. . . . . 2.3 Eng kam imtiyoz. . . . 2 Dasturiy ta'minot va tizim xavfsizligi tamoyillari . . . . . . 23 . . . . . . . . . . . . . . . . 30 2.2 Izolyatsiya. . . . . . . 1 . . . . . . . . . . . . 21 . . . . . . 3.2 Dasturiy ta'minotni amalga oshirish. . . 2.1 Maxfiylik, yaxlitlik va mavjudlik. . . . . 28 1.Kirish . . . . . . . . . . . 20 3 Xavfsiz dasturiy ta'minotning hayot aylanishi 3.1 Dasturiy ta'minot dizayni. . . . . . . . . . 4 Xotira va tur xavfsizligi . . . . . . . 19 Tarkib Machine Translated by Google . . . . 5.5 Xulosa. . iii 5.2 Axborot sizib chiqishi. . . . . . 6.3.2 Sanitizerlar. . . . . . . . . . . . . . . . 83 . . . . . . . . . . . . . . . . . . . . 65 . . . . . . . . . 47 . . . 5.4.3 Kodni qayta ishlatish. . . . . . . . 4.4 Xulosa. . . 6.4.3 Stackning yaxlitligi. . . . . . 87 . . . . . . . . . . . 6.4.1 Ma'lumotlar bajarilishini oldini olish (DEP)/WˆX 82 . . 6.2 Tilga asoslangan xavfsizlik. . . . . . . . 54 4.2.3 Xotira xavfsizligi ta'rifi. . . . . . . . . . . . . . . . . . 61 . . . . . . . . . . . 46 . 5.4.2 Kod kiritish. . . . 5.4 Imtiyozlarni oshirish. . . . . . 58 . . . . . . . 6.4.5 Manbani mustahkamlash. . . . . . 50 . 6.3.4 Ramziy ijro. Tarkib . . . . . . 40 . . . . . . . . . . . . 44 . . . . . . . . . . . . 93 . . . . . . 35 . . . . . . . . . . . . . . . . . 5.3 Chalkashib ketgan deputat. . . . . 6.4.4 Xavfsiz istisnolardan foydalanish (SEH). . . 6.3.3 Xiralashish. . . . . . 48 . 58 . . . . . . . . 57 . (ASLR). . 4.3 Xavfsizlik turi. . . . 36 . . . . . . . . . . . . . . . . . . . . . 68 5 Hujum vektorlari 5.1 Xizmatni rad etish (DoS) . 6.3.1 Qo'lda sinovdan o'tkazish. . . . . . . . . . . . . 96 . . . . . . . . . . . . 46 . . . 5.4.1 Boshqaruv oqimini o'g'irlash. . . 6.4.2 Manzil fazosi tartibini tasodifiylashtirish . 6.3 Sinov. . . . . . 56 4.2.4 Amaliy xotira xavfsizligi. . . . . . 36 . . . . . 60 . . . . . . . . 59 . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 . 6 Mudofaa strategiyalari 6.1 Dasturiy ta'minotni tekshirish. . . . . . . . 52 . . 4.2.2 Vaqtinchalik xotira xavfsizligi. . . 6.4 Yumshatish choralari. . . . . . 81 Machine Translated by Google . . . 110 . . 105 . . . 7.1.4 SQL in'ektsiyasi. Ma'lumotnomalar . . . . . . . . . . . . . . . . . 120 . . . . . . 118 . 7.1.3 Buyruqni kiritish. . . . . . . . 9 Minnatdorchilik . . . . . . 119 . . . . . . 7.2.3 Ruxsat modeli. 7.1.2 Brauzer xavfsizligi. . . . . . 108 . . . . . . 117 . . . . . . . 97 . . . . . . . . . . . . 7.2.2 Android bozori. 119 . . Izolyatsiya . . . . . . . . . . . . . . 7.2.1 Android tizimi xavfsizligi. . 8.2.2 Format satrining zaif tomonlari. . . . . . 121 . . 7.1.1 Uzoq muddatli xizmatlarni himoya qilish. . . . 106 . . . . . . . . . . . . . 7.2 Mobil xavfsizlik. . . . . . . . 115 . . . . . . 102 . 7 Case Studies 7.1 Veb xavfsizligi. . iv 6.4.8 Sandboxing va dasturiy ta'minotga asoslangan xato 8.2.1 ROPdan o'tish: Boshqarish-oqim egilishi 120 . 6.5 Xulosa. . . . . . . . . 7.1.6 Saytlararo so'rovni qalbakilashtirish (XSRF). . 114 . . . . . . . 6.4.7 Kod ko'rsatkichining yaxlitligi. . . . . 8.2 ROP zanjirlari. . 123 . . . . . . . . . . 104 . . . . . . . . 115 . . 6.4.6 Boshqarish-oqimning yaxlitligi. . . . . . . 112 . . . . 122 . . . . . . 105 8 Qo'shimcha 8.1 Shellcode. . . . . . 102 . 7.1.5 Saytlararo skript yaratish (XSS). . . . . . 113 . Tarkib . . . . . . . . Machine Translated by Google Xavfsizlik va ayniqsa tizim va dasturiy ta'minot xavfsizligi bilan bog'liq muammolar hayotimizning barcha sohalarini qamrab oladi. Biz murakkab interyer bilan o'zaro aloqadamiz dasturiy ta'minotdan foydalanadigan keng tarqalgan qurt epidemiyasi uchun zararli dasturiy ta'minotni o'rnatish uchun ishonchli foydalanuvchini suiiste'mol qiladigan infektsiyalar bir tizimdan ikkinchisiga avtomatik ravishda tarqalishi uchun zaifliklar . Dasturiy ta'minot xavfsizligi (yoki uning etishmasligi) asosidir 1.Kirish zaifliklar mavhumlikning barcha qatlamlarini kesib o'tadi va vektorlar. Hujum vektori shunchaki tajovuzkor uchun kirishdir inson omillari, foydalanish imkoniyati, unumdorlik, tizim abstraktsiyalari va iqtisodiy muammolarni o'z ichiga oladi. Raqiblar nishonga olishlari mumkin tajovuzkor himoyachi esa tizimni buzishi uchun Har qanday yangiliklar tasmasini ko'rib chiqish, ehtimol, o'quvchi berilgan tahdidga muvofiq har qanday mumkin bo'lgan hujumni ko'rib chiqishi kerak bu hujumlarning barchasi. model. 1 xavfsizlik keng maydon bo'lib, hikoyalar zararli dasturlardan iborat bo'lishi mumkin Lekin nima uchun dasturiy ta'minot xavfsizligi shunchalik qiyin? Javob murakkab. Xavfsizlikdan himoya qilish va undan foydalanish hujumni amalga oshirish, ya'ni himoyada ochilish imkonini beradi Eng zaif bo'g'in bo'lgan himoyachilar barcha mumkin bo'lgan hujumlarni amalga oshirishlari kerak tajovuzkor ko'zda tutilmagan kirish huquqiga ega bo'lishi uchun. Bitta kamchilik etarli dasturiy ta'minot xavfsizligi bilan bog'liq bir nechta hikoyalarga duch keladi. Dasturiy ta'minot Machine Translated by Google muntazam ravishda ulangan dasturiy ta'minot tizimlari. Ushbu tizimlardagi xatoliklar yoki nuqsonlar maÿlumotlarimizga ruxsatsiz kirish imkonini beradi yoki zararli dasturlarni oÿrnatish kabi imtiyozlarni oshiradi. Xavfsizlik har bir inson hayotiga ta'sir qiladi, masalan, foydalanuvchi uchun xavfsiz qarorlar qabul qilish juda muhimdir. Axborot tizimini boshqarish uchun mavhumlikning bir nechta qatlamlari bo'ylab odamlar birgalikda ishlashlari kerak: menejerlar, ma'murlar, ishlab chiquvchilar va xavfsizlik tadqiqotchilari. Keksa odam xavfsizlik yechimiga qancha pul sarflashni yoki qanday xavfsizlik mahsulotini sotib olishni o'zi hal qiladi. Ma'murlar kimga qanday imtiyozlar berilishini diqqat bilan o'ylab ko'rishlari kerak. Ishlab chiquvchilar ma'lum bir kirish siyosati asosida ma'lumotlarning yaxlitligi, maxfiyligi va mavjudligini himoya qilish uchun xavfsiz tizimlarni loyihalashlari va qurishlari kerak . Xavfsizlik bo'yicha tadqiqotchilar kamchiliklarni aniqlaydilar va zaif tomonlar, zaifliklar yoki tizimli hujumlarga qarshi choralarni taklif qiladilar. Xavfsizlik - bu ma'lumotlar va resurslarga nisbatan himoya mexanizmlari orqali siyosatlarni qo'llash va amalga oshirish . Xavfsizlik siyosatlari biz nimani qo'llashni xohlayotganimizni belgilaydi . Mudofaa mexanizmlari siyosatni qanday qo'llashimizni belgilaydi (ya'ni, siyosatning amalga oshirilishi/namunasi ). Misol uchun, ma'lumotlarning bajarilishini oldini olish - bu jarayonning manzil maydonidagi jismoniy xotiraning har bir sahifasini yozilishi yoki bajarilishini kafolatlash orqali kod yaxlitligi siyosatini amalga oshiradigan mexanizm, lekin hech qachon ikkalasi ham bo'lmaydi. Dasturiy ta'minot xavfsizligi - bu (i) sinovdan o'tkazish, (ii) baholash, (iii) takomillashtirish, (iv) ta'minlash va (v) dasturiy ta'minot xavfsizligini isbotlashga qaratilgan xavfsizlik sohasi . vektorlar. 1.Kirish 2 Tushunishning umumiy asosini shakllantirish va dasturiy ta'minot xavfsizligini ta'minlash uchun ushbu kitob birinchi navbatda asosiy xavfsizlik tamoyillarini kiritadi va belgilaydi . Ushbu tamoyillar maxfiylikni, Machine Translated by Google yaxlitlik va nima himoya qilinishi kerakligini aniqlash uchun mavjudlik, mudofaa yondashuvlarini tushunish uchun qismlarga ajratish, mavhum hujumchilar va xatti-harakatlar haqida fikr yuritish uchun tahdid modellari, xatolar va zaifliklar o'rtasidagi farqlar. Xavfsiz dasturiy ta'minotning hayot aylanishini muhokama qilishda biz eng yaxshi amaliyot amaliyotiga, uzluksiz integratsiyaga va dasturiy ta'minotni sinovdan o'tkazishga, xavfsiz dasturiy ta'minot yangilanishlariga o'tishdan oldin , talablarning aniq ta'rifi va dasturiy ta'minotning funktsional dizayni bilan dizayn bosqichini baholaymiz. Asosiy e'tibor aniq dasturiy ta'minot muhandisligiga emas, balki ushbu jarayonlarning xavfsizlik jihatlariga qaratilgan. Mudofaa strategiyalari bo'limida ilovalarni dasturiy ta'minot xavfsizligi buzilishidan himoya qilish uchun turli yondashuvlar ro'yxati keltirilgan . Mudofaa strategiyalari dasturiy ta'minotning funktsional to'g'riligini tekshirish va turli xil sinov strategiyalari bilan muayyan dasturiy ta'minot kamchiliklarini sinab ko'rish uchun turli yondashuvlarga qaratilgan. Sanitizerlar ilovalarni to'xtatish orqali sinov paytida dasturiy ta'minotdagi kamchiliklarni aniqlashga yordam beradi Xotira va turdagi xavfsizlik dasturiy ta'minot haqida semantik fikr yuritishga imkon beruvchi asosiy xavfsizlik siyosati hisoblanadi . Agar xotira va turdagi xavfsizlik ta'minlangan bo'lsa, biz dasturiy ta'minotning to'g'riligini uning amalga oshirilishiga qarab taxmin qilishimiz mumkin. Ushbu siyosatlarning har qanday buzilishi tajovuzkorga ilovaning ichki holatini buzishga va g'alati mashinani ishga tushirishga imkon beruvchi istisno xatti-harakatlarga olib keladi . Ilova holati buzilganligi sababli, g'alati mashinalar endi manba kodida belgilangan dasturning kutilgan holatga o'tishlariga amal qilmaydi. G'alati mashinaning bajarilish izi har doim dasturni boshqarish oqimi (yoki ma'lumotlar oqimi) cheklovlaridan chiqish uchun asosiy xavfsizlik siyosatining buzilishiga olib keladi. 1.Kirish 3 Machine Translated by Google qoidabuzarlik aniqlanganda. Oxirgi mudofaa chizig'i sifatida yumshatishlar tizimning mavjudligini qurbon qilish orqali uning yaxlitligini ta'minlashga yordam beradi . Yumshatishlar dasturdagi qo'shimcha asboblar orqali siyosat buzilishini aniqlash orqali noma'lum yoki tuzatilmagan nuqsonni to'xtatadi . Brauzer xavfsizligi, veb xavfsizligi va mobil xavfsizlikni dasturiy ta'minot va tizim xavfsizligi nuqtai nazaridan muhokama qilish orqali kitobni bir qator amaliy tadqiqotlar yakunlaydi. 1.Kirish 4 Ushbu kitob dasturiy ta'minot xavfsizligi status-kvosini tushunishga qiziqqan o'quvchilar uchun, xavfsiz dasturiy ta'minotni ishlab chiqish, xavfsiz kod yozish va asosiy tizim xavfsizligini doimiy ravishda kafolatlashni xohlaydigan ishlab chiquvchilar uchun mo'ljallangan. Biz bir nechta tadqiqot mavzularini muhokama qilsak va chuqurroq tadqiqot savollariga havolalar beramiz, ammo bu kitob tadqiqotga yo'naltirilgan emas, balki dasturiy ta'minot xavfsizligi sohasida boshlash uchun dastlabki ma'lumotlar manbai bo'lib xizmat qiladi . Hujum vektorlari bo'limida turli xil zarba turlari muhokama qilinadi. Adashgan o‘rinbosardan boshlab, ma’lumotlar sizib chiqishiga bo‘limni ishga tushirish uchun ma’lum bir API’dan suiiste’mol qiladi yoki xotiradan foydalanadigan boshqaruv oqimini o‘g‘irlash hujumlari uchun imtiyozlardan voz kechadi va ilovaning boshqaruv oqimini tajovuzkor tanlagan joylarga yo‘naltirish uchun xavfsizlik masalalarini yozing . Kodni kiritish va kodni qayta ishlatish, tajovuzkor tomonidan boshqariladigan kodni dasturning manzil maydoniga kiritish uchun dasturni qayta o'tkazadi. Rad etish: bu kitob mutlaqo mukammal va benuqson emas. Imlo xatolari, til xatolari, matn xatolari, faktik xatolar yoki boshqa kamchiliklarni topsangiz, mas'uliyatli ochish strategiyasiga amal qiling va bizga xabar bering. Biz mamnuniyat bilan yangilaymiz Machine Translated by Google matn yozing va kitobni hamma uchun yaxshiroq qiling. 1.Kirish O'qishdan rohatlaning va sayyorani hack qiling! 5 Machine Translated by Google Dasturiy ta'minot xavfsizligining maqsadi dasturiy ta'minotdan har qanday maqsadli foydalanishga ruxsat berish, lekin har qanday maqsadsiz foydalanishning oldini olishdir. Bunday noto'g'ri foydalanish zarar etkazishi mumkin. Ushbu bobda biz xavfsiz dasturiy ta'minot tizimlarini yaratishda muhim bo'lgan bir nechta tizim tamoyillarini muhokama qilamiz . Maxfiylik, yaxlitlik va mavjudlik xavfsiz tizimning turli xossalarini qayta tekshirish imkonini beradi . Izolyatsiya komponentlar orasidagi ajratishni ta'minlaydi, shunda o'zaro ta'sir faqat kirish ibtidoiylari haqida fikr yuritishga imkon beruvchi belgilangan interfeys bo'ylab mumkin. Eng kam imtiyozlar har bir dasturiy ta'minot komponentining minimal imtiyozlar miqdori bilan ishlashini ta'minlaydi . Bo'limlarga bo'lish jarayonida murakkab dasturiy ta'minot kichikroq qismlarga bo'linadi. Izolyatsiya va bo'linish birgalikda o'ynaydi, katta murakkab tizim keyinchalik bir-biridan ajratilgan kichik qismlarga bo'linadi . Tahdid modeli tajovuzkorning imkoniyatlarini ko'rsatib, dasturiy ta'minot tizimining muhitini belgilaydi . Dasturiy ta'minotdagi xatolar va zaifliklar o'rtasidagi farq bizga ma'lum bir nuqson xavfi haqida qaror qabul qilishga yordam beradi . 6 Download 3,9 Mb. Do'stlaringiz bilan baham:
|
kiriting | ro'yxatdan o'tish
Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha
yuklab olish
Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha
yuklab olish