Теми рефератів
> Реферати > Курсові роботи > Звіти з практики > Курсові проекти > Питання та відповіді > Ессе > Доклади > Учбові матеріали > Контрольні роботи > Методички > Лекції > Твори > Підручники > Статті Контакти
Реферати, твори, дипломи, практика » Курсовые проекты » Аналіз методик та програмних ЗАСОБІВ ОЦІНКИ стану безпеки Web-сторінки

Реферат Аналіз методик та програмних ЗАСОБІВ ОЦІНКИ стану безпеки Web-сторінки





редовища, Пожалуйста НЕ контролюється, и додаткових вимог относительно ідентіфікації та автентифікації между КЗЗ РОБОЧОЇ станції ї КЗЗ WEB-сервера во время СПРОБА розпочато обмін інформацією та забезпечення цілісності информации при обміні.

За власником WEB-сторінки залішається право реализации, у разі необхідності, ОКРЕМЕ услуг безпеки информации зазначену профілів з більш високим рівнем, ДОПОВНЕННЯ ціх профілів іншімі услуг, а такоже реалізація услуг безпеки з більш високим рівнем гарантій.

У випадка, коли в АС вимоги до політики реализации якоїсь з услуг безпеки забезпечуються організаційнімі або іншімі заходами захисту, Які в ПОВНЕ обсязі відповідають встановленим НД ТЗІ 2.5-004 спеціфікаціям для Певного уровня послуги безпеки, то рівень подобной послуги, что входити до визначених согласно з профілів захіщеності, может буті зниженя на відповідну величину.


2. АНАЛІЗ НАЙБІЛЬШ Поширеними загрозив WEB-СТОРІНКАМ


Щоб зламаті веб-портал зловміснік збірає інформацію, необхідну и достаточно для его ЗЛАМ:

перевірка использование на веб-сайтом сценаріїв, написання власниками сайту або розроблення комерційнімі організаціямі;

детальний РОЗГЛЯД сценаріїв, Які потребують Введення даних користувачем;

РОЗГЛЯД того, як сценарії обробляють введені дані;

РОЗГЛЯД того, як фільтруються введені дані, щоб обійті ЦІ фільтри;

использование універсального web-фільтру, Який продівляється HTTP заголовки повідомлень.ін єкція - вбудовування вільніх SQL-команд, у результате которого змінюється логіка запиту до бази даних. Це становіть загрозив, бо таким чином можна поцупіті з бази даних конфіденціальну інформацію. Приклад - через помилки web-інтерфейсу у різніх провайдерів не раз крали бази з логінамі та паролями Користувачів. Успішність атаки SQL-ін єкція НЕ поклади від использование для написання web мови програмування - чі то PHP, Perl, або ASP. Если Сценарій працює з базами даних, а перевірка вхідніх параметрів відсутня, то всегда Є можливість Приєднання SQL-коду.

Приклад вразливостей сценарію:


lt;? php

...

$ data=mysqli_query ($ link, SELECT * FROM profiles WHERE =. $ _ GET [id]);

...

? gt; [1]

У даного прікладі значення поля id буде порівнюватіся зі значенням параметра id передана через URL.

Если в якості значення параметра вказаті, например, 10, то чесний користувач побачим свой Профіль. Альо, если вказаті в якості параметра id рядок 10 OR UserName=Administrator, то запит до бази даних Набуда вигляд SELECT * FROM profiles WHERE id=10 OR UserName=Administrator. После виконан такого запиту відобразіться НЕ лишь Запис з id=10, но ї запису У якому полі UserName=Administrator. Тобто после такого запиту хакер побачим всю інформацію про обліковій Запис Administrator. Php-ін'єкція - один зі методів злому веб-сайтів, что Працюють на PHP, Який Полягає у віконанні стороннього коду на серверній стороні. Потенційно небезпечний є Стандартні Функції PHP [7]:

(); (); (); _ once (); _ once (); (); (); _ function ();

ін'єкція становится можливіть, если вхідні параметри пріймаються и Використовують без перевіркі. Загроза XSS. У багатьох XSS Вже давно немає Ніякого скриптінг. Всяка можлівість впліву на віддаленого користувача, яка реалізовується через незахіщеній сайт віддаленім хакером, І буде XSS. XSS-атаки відрізняються моделлю передачі даних между Клієнтом, сервером та хакером. У цілому на сьогоднішній день известно трьох основні моделі [1]:

) XSS DOM. У Цій моделі вразлівість сайту Полягає у тому, что НЕ серверних Сценарій, а самє клієнтській JavaScript вставляє в код HTML Сторінки дані, отрімані в URL, через про єкти Document Object Model (DOM). Тому користувач достаточно лишь перейти за Ваші відповіді, Пожалуйста містіть XSS-вектор хакера, и вміст вебсторінкі буде змінено и в неї безпосередно на машині клієнта буде вставлений код з тела вектора. Приклад вразлівої сторінки:


lt; HTML gt;

...

lt; TITLE gt; Welcome! lt;/TITLE gt;

...

lt;SCRIPTgt;pos=document.URL.indexOf(laquo;name=raquo;)+5;.write(document.URL.substring

(pos, document.URL.length));

lt;/SCRIPT gt;

...

lt;/HTML gt;


Приклад вектора: # justify gt; lt;/script gt;

) Класичний XSS. Найбільш Поширена модель атак. Вікорі...


Назад | сторінка 3 з 11 | Наступна сторінка





Схожі реферати:

  • Реферат на тему: Створення бази даних, що зберігає інформацію про студентів навчального закл ...
  • Реферат на тему: Створення та аналіз бази даних обліку комунальних витрат підприємств. Орга ...
  • Реферат на тему: Розробка бази даних засобами системи управління базами даних MS Access
  • Реферат на тему: Вивчення бази даних та системи управління базами даних
  • Реферат на тему: Бази даних та системи управління базами даних