Wie man gegen unerwartete Eingänge schützt

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Wenn Sie das Internet surfen, downloaden Sie eine von zwei Arten Webseiten zu Ihrem Computer: statisch oder dynamisch. Eine statische Webseite sitzt auf einem web server, bis ein Klient Computer einen Antrag für ihn sendet. Sobald verlangt, wird die Webseite dann zum Klient Computer genau downloadet, während sie verursacht wurde, wo das web browser dann die Seite ansieht. Eine statische Webseite ist wirklich nichts mehr als eine Broschüre oder eine Reklameanzeige und erlaubt nicht, daß die zutreffende Energie des Internets ausgedrückt wird. Jedoch ist eine statische Seite von den Häckern verhältnismäßig sicher.

Demgegenüber bestehen dynamische Webseiten nur in einem teilweisen Zustand, bevor sie verlangt werden. Mit scripting Sprachen füllt ein web server wirklich alle fehlenden Teile aus und verursacht die Webseite, bevor es zum Computer des Klienten geschickt wird. Diese Art der dynamischen Webseite Kreation läßt Datenbankinteraktion, Einkaufenkarren und kundengebundene Teile einer Webseite, wie Farben, der Namen und der Formatierung Pläne zu.

Eine Search Engine Webseite oder vorderes Ende, ist ein vollkommenes Beispiel des dynamischen Scriptings. Das grundlegende Search Engine ist nichts mehr als ein kleines Programm, das eine Datenbank (oder spezifischer, eine Tabelle in der Datenbank) zu jeder möglicher zusammenpassenden Information fragt, die auf den Kriterien basiert, die Sie gegeben haben. Zum Beispiel wenn Sie über Hunde herausfinden möchten, schreiben Sie einfach Hunde in der Textkasten- und -erfolgssuche.

Die meisten Datenbanken basieren auf der strukturierten Abfragesprache (SQL). Diese Sprache wird hauptsächlich verwendet, um Informationen in einer Datenbank zu manipulieren. Mit SQL können Sie andere Tätigkeiten auf Daten in einigen kurzen Linien des Codes fragen, aktualisieren, hinzufügen, löschen und durchführen.

Ist hier ein anderer allgemeiner Gebrauch für Datenbank-gefahrene Netzaufstellungsorte. Sind Sie überhaupt angefordert worden, ein username oder ein Kennwort einzutippen, um eine Webseite zugänglich zu machen? Ziemlich häufig, wird Ihre Eintragung mit einem Datenbanktabelle verglichen, in dem Ihr Benutzername und -kennwort validiert werden. Wenn es erklären der eingetragene Benutzername und die Kennwortgleichen gibt, werden Ihnen Zugang bewilligt.

Um zu veranschaulichen, lassen Sie uns den Prozeß genau betrachten, wie folgt:

  1. Der Benutzer wird gebeten, einzutippen erklären Informationen.

  2. Der Benutzer betritt das folgende: 

    User=Tom Pass=tompass
  3. Die eingetragenen Informationen werden zum web server geschickt.
  4. Eine SQL Frage wird mit den eingetragenen Kontoinformationen verursacht: 
    "* von den tblUsers IN DENEN USER='Tom ' und 
PASS='tompass'" VORWÄHLEN Sie
  5. Die Datenbank bringt die Resultate zurück.
  6. Ein Algorithmus wird verwendet, um festzustellen, ob Zugang die Erlaubnis gehabt wird.
  7. Wenn Resultate gefunden werden, wird Zugang ermöglicht, und wenn keine Resultate gefunden werden, ist Zugang eingeschränkt.
  8. Der Benutzer wird entweder in die Web site gesendet oder gesendet zurück zu der LOGON-Seite.

Diese ehrfürchtige Technologie kann grenzenlosen Gebrauch haben. Jedoch kann ein gescheiter Hacker diese Technologie ausnutzen, um die Daten ohne korrekte Authentisierung zugänglich zu machen. Z.B. nehmen Sie an, daß unser Hacker die folgenden Schritte anstelle von vorher aufgeführten durchführte.

  1. Der Hacker wird gebeten, einzutippen erklären Informationen.

  2. Der Hacker betritt das folgende: 

    Benutzer = ' oder '' Durchlauf = ' oder ''
  3. Eingetragene Informationen werden zum web server geschickt.
  4. Eine SQL Frage wird mit den eingetragenen Kontoinformationen verursacht: 
    "* von den tblUsers IN DENEN BENUTZER = ' ' oder '' und 
PASS=''or '' VORWÄHLEN Sie
  5. Die Datenbank bringt die Resultate zurück.
  6. Ein Algorithmus wird verwendet, um festzustellen, ob Zugang die Erlaubnis gehabt wird.
  7. Wenn Resultate gefunden werden, wird Zugang ermöglicht, und wenn keine Resultate gefunden werden, ist Zugang eingeschränkt.
  8. Der Hacker erhält Zutritt, weil die Datenbank eine Liste aller Benutzer zurückbrachte!

Wie Sie sehen können, dank die Handhabung des Hackers der Frage auf der Datenbank, hat er jetzt Zugang zur gesicherten Web site.

Es gibt viele Weisen, die diese Art des Angriffs benutzt werden kann. Häcker können löschen, einsetzen, aktualisieren und Ansichtdaten, indem sie das web server in das Bitten um Extrainformationen von einer Datenbank betrügen. Obgleich dieses ein festes Verständnis der SQL Sprache nimmt, kennen viele Häcker sie bereits resultierend aus ihren Arbeit Anforderungen.

Ausnutzung Der Netz-Formen

Die vorher besprochene Art der zerhackenden Technik kann auch benutzt werden, wenn man Netzformen ausnutzt. Ziemlich häufig, haben Netz-gegründete Formen auffängt sich "versteckt", die Informationen enthalten, die zu einem web server ohne den Klienten geschickt wird, der überhaupt es sieht. Ein neues Beispiel ist ein populäres "Einkaufenkarre" Software-Programm, das gefunden wurde sich versteckt zu haben auffängt die Preise der Einzelteile online enthalten, die für Erwerb vorhanden sind. Alles mußte ein Hacker tun sollte die Webseite zu ihrem Computer downloaden und den versteckten Preis zu redigieren fangen Sie zu jedem möglichem Wert auf, den sie wünschte. Dieser neue und verbesserte Wert wurde dann zur Einkaufenkarre Software für die Verarbeitung geschickt. Wenn es keine Alarmmenschen gab, die in die Verarbeitung der Erwerbe mit einbezogen wurden, würde der Hacker kein Problem einen on-line-Speicher aus Tausenden Dollar heraus betrügend haben.

Diese sind einige der populärsten Arten der böswilligen Großtaten auf dem Internet. Dank alle unterschiedlichen Arten Benutzerschnittstellen und dynamischer Inhalt auf dem Internet, Häcker finden leicht Bohrungen. Ftp Programme, SQL Bedienerprogramme, remote loginprogramme, scripting Sprachen und sogar HTML selbst alle sind gefunden worden, um zum unerwarteten diesem Eingang verletzbar zu sein Resultate in der Freigabe der empfindlichen Informationen. Aller, den es nimmt, ist ein Hacker mit einem vollständigen Verständnis eines Software-Programms oder sogar ein Index Kiddie mit einem vor-gebildeten Programm, das die Bohrungen findet, und ein anderer Wirt der Computersysteme kann unten in Flammen gehen.

dieses ist ein Artikel, der von Yoko Jelkovich hinzugefügt wird


Verzicht: Unsere Web site ist nicht zu der Information verantwortlich, die durch diesen Artikel enthalten wird. Dieser Artikel reflektiert keineswegs die Ansichten, die Meinungen, die Gedanken oder den Glauben des Artikelverzeichnisstabes.

Übersetzung Nachricht: Der Artikel ", wie man gegen unerwartete Eingänge" wurde übersetzt mit einem automatisierten Übersetzungsdienst schützt. Wir entschuldigen herzlichst uns für alle mögliche Übersetzung Störungen, die auftraten. Danke für das Verstehen.


Online: 1043 users browsing the articles directory