Cómo proteger contra entradas inesperadas

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Cuando usted practica surf el Internet, usted descarga uno de dos tipos de páginas del Web a su computadora: estático o dinámico. Una página estática del Web se sienta en un servidor del Web hasta que una computadora del cliente envía una petición para ella. Una vez que esté solicitada, la página del Web entonces se descargue a la computadora del cliente exactamente mientras que fue creada, donde el browser del Web entonces visión la página. Una página estática del Web no es realmente nada más que un folleto o un anuncio, y no permite que la energía verdadera del Internet sea expresada. Sin embargo, una página estática es relativamente segura de hackers.

En contraste, las páginas dinámicas del Web existen solamente en un estado parcial antes de que se soliciten. Usando idiomas scripting, un servidor del Web completa realmente todas las piezas que falta y crea la página del Web antes de que se envíe a la computadora del cliente. Este tipo de creación dinámica de la página del Web permite la interacción de la base de datos, carros de compras, y partes modificadas para requisitos particulares de una página del Web, tales como colores, de nombres, y de disposiciones del formato.

Una página del Web del Search Engine, o el extremo delantero, es un ejemplo perfecto de scripting dinámico. El Search Engine básico no es nada más que un programa pequeño que pregunte una base de datos (o más específicamente, una tabla en la base de datos) para cualquier información que empareja basada en los criterios que usted ha dado. Por ejemplo, si usted desea descubrir sobre perros, usted mecanografía simplemente perros en la búsqueda de la caja y del golpe de texto.

La mayoría de las bases de datos se basan en el lenguaje de interrogación estructurado (SQL). Esta lengua se utiliza sobre todo para manipular la información en una base de datos. Usando el SQL, usted puede preguntar, poner al día, agregar, suprimir, y realizar otras acciones en datos en algunas líneas cortas del código.

Aquí está otro uso común para los sitios base de datos-conducidos del Web. ¿Le siempre han requerido mecanografiar adentro un username o una contraseña para tener acceso a una página del Web? Absolutamente a menudo, su entrada se compara a una tabla de la base de datos, donde se validan su nombre y contraseña del usuario. Si hay un explicar el nombre incorporado del usuario, y los fósforos de la contraseña, le concederán el acceso.

Para ilustrar, hechemos una ojeada más cercano el proceso, como sigue:

  1. Piden el usuario mecanografiar adentro considera información.

  2. El usuario entra en el siguiente: 

    User=Tom Pass=tompass
  3. La información incorporada se envía al servidor del Web.
  4. Se crea una pregunta del SQL usando la información incorporada de la cuenta: 
    "SELECCIONE * de los tblUsers DONDE USER='Tom ' y 
PASS='tompass"
  5. La base de datos vuelve los resultados.
  6. Un algoritmo se utiliza para determinarse si el acceso está permitido.
  7. Si se encuentran los resultados, se permite el acceso, y si no se encuentra ningunos resultados, el acceso es restricto.
  8. Envían en el sitio del Web o se envían el usuario de nuevo a la página de la conexión.

Esta tecnología impresionante puede tener aplicaciones ilimitadas. Sin embargo, un hacker listo puede explotar esta tecnología para tener acceso a los datos sin la autentificación apropiada. Por ejemplo, suponga que nuestro hacker realizó los pasos siguientes en vez los previamente mencionados.

  1. Piden el hacker mecanografiar adentro considera información.

  2. El hacker entra en el siguiente: 

    Usuario = ' o paso del '' = ' o ''
  3. La información incorporada se envía al servidor del Web.
  4. Se crea una pregunta del SQL usando la información incorporada de la cuenta: 
    "SELECCIONE * de los tblUsers DONDE USUARIO = ' ' o '' y 
'' de PASS=''or
  5. La base de datos vuelve los resultados.
  6. Un algoritmo se utiliza para determinarse si el acceso está permitido.
  7. Si se encuentran los resultados, se permite el acceso, y si no se encuentra ningunos resultados, el acceso es restricto.
  8. ¡El hacker accede porque la base de datos volvió una lista de todos los usuarios!

Como usted puede ver, los gracias a la manipulación del hacker de la pregunta en la base de datos, él ahora tiene acceso al sitio asegurado del Web.

Hay muchas maneras que este tipo de ataque puede ser utilizado. Los hackers pueden suprimir, insertar, ponerse al día, y los datos de la visión trampeando el servidor del Web en la petición de la información adicional de una base de datos. Aunque esto toma una comprensión sólida de la lengua del SQL, muchos hackers la saben ya como resultado de sus requisitos de trabajo.

Explotar Formas Del Web

El tipo previamente discutido de técnica que corta puede también ser utilizado en explotar formas del Web. Absolutamente a menudo, las formas de Web-based tienen campos "ocultados" que contengan la información que se envía a un servidor del Web sin el cliente que lo considera siempre. Un ejemplo reciente es "un programa popular del software del carro de compras" que fue encontrado para tener campos ocultados el contener de los precios de los artículos disponibles para la compra en línea. Todo el un hacker tuvo que hacer debía descargar la página del Web a su computadora y corregir el campo ocultado del precio a cualquier valor que ella deseara. Este nuevo y mejorado valor entonces fue enviado al software del carro de compras para procesar. Si no hubiera seres humanos alertas implicados con el proceso de las compras, el hacker no tendría ningún problema que engaña un almacén en línea fuera de millares de dólares.

Éstos son algunos de los tipos más populares de hazañas malévolas en el Internet. Los gracias a todos los tipos diferentes de interfaces utilizador y de contenido dinámico en el Internet, hackers están encontrando fácilmente los agujeros. Los programas del ftp, los programas del servidor del SQL, los programas del remote login, las idiomas scripting e incluso HTML sí mismo todo se han encontrado para ser vulnerables a la entrada inesperada esa los resultados en el acceso de la información sensible. Todo lo que toma es un hacker con una comprensión cuidadosa de un programa del software, o aún un kiddie de la escritura con un programa pre-hecho que encuentre los agujeros, y otro anfitrión de los sistemas informáticos puede entrar abajo en llamas.

esto es un artículo agregado por Yoko Jelkovich


Negación: Nuestro Web site no es responsable de la información contenida por este artículo. Este artículo de ninguna manera refleja las vistas, las opiniones, los pensamientos o la creencia del personal del directorio de los artículos.

Aviso de la traducción: El artículo "cómo proteger contra entradas inesperadas" fue traducido usando un servicio de traducción automatizado. Nos disculpamos sinceramente por cualquier error de la traducción que ocurriera. Gracias por entender.


Online: 1131 users browsing the articles directory