كيف تحمى ضد مدخلات غير متوقعة

عندما كنت تصفح الانترنت ، عليك تنزيل واحد من هذين النوعين من صفحات الويب الى جهاز الكمبيوتر الخاص بك : ساكنا أو متحركا. جامدا يجلس صفحة ويب على ملقم الويب حتى عميل الحاسوب يرسل طلبا لذلك. متى طلبت ذلك ، هو صفحة ويب ثم تنزيله إلى العميل الحاسوب تماما كما انشئت من اجلها ، حيث متصفح ويب ثم آراء الصفحه. جامدا صفحة الويب هو حقا ليس اكثر من نشره او الاعلان ، ولا تسمح السلطة الحقيقية للانترنت ليكون التعبير عنها. ومع ذلك ، جامدا الصفحه هي آمنة نسبيا من القراصنه.

  

وفي المقابل ، ديناميه صفحات الويب توجد إلا في جزئية الدولة قبل ان يتم طلب. باستخدام لغات برمجة ، أ ملقم الويب تملأ فعلا في جميع الأجزاء الناقصه ويخلق صفحة الويب قبل ان يتم ارسالها الى العميل الحاسوب. هذا النوع من ديناميه صفحة الويب يتيح انشاء قاعدة بيانات للتفاعل ، وعربات التسوق ، وتفصيلها على اجزاء من صفحة ويب ، مثل الألوان ، اسماء ، وتهيئة التنسيقات.

محرك بحث صفحة ويب ، او الواجهة الاماميه ، هو مثال حي على ديناميه للكتابة. محرك البحث الاساسي ، ليس اكثر من برنامج الصغيرة التي استفسارات قاعدة بيانات (او بشكل اكثر تحديدا ، وجدولا في قاعدة البيانات (اي مطابقه للمعلومات استنادا الى المعايير التي اتحتموها. فعلى سبيل المثال ، إذا اردت ان تعرف الى الكلاب ، وانت ببساطة نوع الكلاب في مربع النص وبلغت البحث.

معظم قواعد بيانات تستند تنظيما استفسار اللغة (لغة الاستعلامات البنيويه). وهذه اللغة تستخدم في المقام الأول للمضاربة على المعلومات في قاعدة بيانات. باستخدام لغة الاستعلامات البنيويه ، يمكنك الاستفسار ، تحديث ، ان يضيف او يحذف ، واداء اجراءات اخرى على البيانات في عدد قليل من الخطوط المدونه قصيرة.

هنا هو آخر مشترك لاستخدام قاعدة البيانات يحركها المواقع على شبكة الإنترنت. هل كان المطلوب من اي وقت مضى الى النوع في اسم المستخدم او كلمة السر للوصول الى صفحة ويب؟ وفي كثير من الاحيان ، هو الدخول الى بلدكم بالمقارنة مع قاعدة بيانات الجدول ، حيث الخاصة بك اسم المستخدم وكلمة السر هي التثبت من صحتها. اذا كان هناك أي حساب للدخل اسم المستخدم وكلمة السر مباريات ، سترسل لك بالوصول.

وعلى سبيل المثال ، ولالقاء نظرة فاحصة على هذه العملية ، على النحو التالي :

  1. المستعمل هو النوع في طلب الى معلومات الحساب.

  2. المستخدم يدخل التالية : 

      مستخدم توم = = تمرير tompass
  3. دخلت فإن المعلومات يتم إرسالها إلى ملقم الويب.
  4. أي لغة الاستعلامات البنيويه استفسار هو احدث باستخدام دخلت معلومات الحساب : 
      "* يختار من حيث tblusers المستخدم =' توم 'وتمرير =' tompass '"
  5. قاعدة البيانات ليعيد النتائج.
  6. خوارزميه يستخدم لتحديد ما إذا كان مسموحا الوصول.
  7. اذا وجدت النتائج ، هو الوصول الى تمكين ، واذا لم يتم العثور على النتائج ، وصول مقيد.
  8. المستعمل هو اما يرسلون الى هذا الموقع او ارسالهم الى صفحة تسجيل الدخول.

هذه التكنولوجيا الهاءله التي يمكن ان يكون لها استخدامات بلا حدود. ومع ذلك ، ذكية هاكر يمكن ان تستغل هذه التكنولوجيا للوصول الى البيانات دون التوثيق الصحيح. على سبيل المثال ، لنفترض اعمالنا هاكر اداء الخطوات التالية بدلا من تلك المذكورة سابقا.

  1. فان هاكر يطلب الى نوع المعلومات في الحساب.

  2. فان هاكر يدخل التالية : 

      مستخدم = 'او'' تمر = 'او''
  3. دخلت المعلومات يتم إرسالها إلى ملقم الويب.
  4. أ لغة الاستعلامات البنيويه استفسار هو احدث باستخدام دخلت معلومات الحساب : 
      "* يختار من حيث tblusers المستخدم ='' أو ''وتمرير ='' أو ''
  5. قاعدة البيانات ليعيد النتائج.
  6. خوارزميه يستخدم لتحديد ما إذا كان مسموحا الوصول.
  7. اذا وجدت النتائج ، هو الوصول الى تمكين ، واذا لم يتم العثور على النتائج ، وصول مقيد.
  8. هاكر فإن المكاسب الوصول لان قاعدة البيانات عاد قائمة جميع المستخدمين!

وكما ترون ، والشكر لهاكر تلاعب للاستفسار عن قاعدة البيانات ، وقال انه اصبح لديها امكانيه الوصول الى مضمون الموقع.

هناك طرق عديدة لهذا النوع من الهجوم يمكن استخدامها. القراصنه يمكن ان تحذف العبارة التالية : تحديث ، ونظرا للبيانات عن طريق الخدع خادم الويب الى طلب معلومات اضافية من قاعدة بيانات. ورغم ان هذا لا يأخذ صلبة من فهم لغة الاستعلامات البنيويه اللغويه ، وكثير من المتسكعين نعرف انها بالفعل كنتيجه لمتطلبات عملهم.

اشكال استغلال الويب

سابقا ناقش النوع من القرصنه تقنيه يمكن ان تستخدم ايضا في استغلال نماذج الويب. في احيان كثيرة ، على الانترنت استمارات "الخفيه" الحقول التي تحتوي على المعلومات التي ارسلت إلى ملقم الويب دون العميل رؤيتها من اي وقت مضى. ومن الامثله الحديثة على شعبية "عربة التسوق" برنامج حاسوبي تم العثور على حقول خفية قد تحتوي على اسعار المواد متاحة للشراء على الانترنت. جميع ا لهاكر قد يفعله هو تحميل صفحة الويب إلى بلدها الحاسوب وتحرير الاسعار الخفيه الميدانيه الى اي قيمة قالت انها تريد. هذا جديدة وتحسين القيمه ثم ارسل الى عربة التسوق برمجيات لتجهيزها. اذا لم يكن هناك اي تنبيه البشر تشارك مع تجهيز المشتريات ، هاكر لن يكون لها اي مشكلة الغش على الانترنت مخزن اصل الالاف من الدولارات.

هذه هي بعض من الاكثر شعبية انواع خبيثة مآثر على شبكة الانترنت. شكرنا لجميع انواع مختلفة من المستعملين البينيه وديناميه المحتوي على شبكة الانترنت ، والمتسكعين من السهل العثور على ثقوب. برامج بروتوكول نقل الملفات ، وبرامج خدمة لغة الاستعلامات البنيويه ، بعد تسجيل الدخول برامج ، لغات برمجة ، وحتى لغة تأشير النص الفائق نفسها جميع لقد وجد ان تكون عرضة للمدخلات ان نتائج غير متوقعة في الكشف عن المعلومات الحساسة. كل ما يلزم هو واحد هاكر مع فهم كامل لبرنامج حاسوبي ، او حتى النصي مع الطفل قبل ان تقدم برنامجا يجد الثغر ، وآخر من المضيف النظم الحاسوبيه يمكن ان تنخفض في السنة اللهب.

هذا هو مقال اضافها يوكو jelkovich
تنصل : موقعنا ليست مسؤولة عن المعلومات الواردة في هذه المادة. هذه المادة ولا يعبر باي حال عن آراء ، آراء ، والافكار او المعتقدات من المواد دليل الموظفين.

ترجمة أشعار : المادة "كيفية حمايه ضد مدخلات غير متوقعة" وقد ترجم تستخدم مشغل داءره الترجمة. ونحن نعتذر عن اي باخلاص اخطاء الترجمة التي وقعت. شكرا للتفاهم.

Online: 747 users browsing the articles directory


  

.