Comment se protéger contre les entrées inattendues

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Quand vous surfez l'Internet, vous téléchargez un de deux types de Pages Web à votre ordinateur : statique ou dynamique. Une Page Web statique se repose sur un serveur de Web jusqu'à ce qu'un ordinateur de client envoie une demande de lui. Une fois que demandée, la Page Web est alors téléchargée à l'ordinateur de client exactement pendant qu'elle était créée, où le navigateur de Web regarde alors la page. Une Page Web statique n'est vraiment rien davantage qu'une brochure ou une publicité, et ne permet pas à la puissance vraie de l'Internet d'être exprimée. Cependant, une page statique est relativement sûre des intrus.

En revanche, les Pages Web dynamiques existent seulement dans un état partiel avant qu'elles soient demandées. En utilisant des langues scripting, un serveur de Web complète réellement toutes les pièces absentes et crée la Page Web avant qu'il soit envoyé à l'ordinateur du client. Ce type de création dynamique de Page Web tient compte de l'interaction de base de données, des caddies, et des parties adaptées aux besoins du client d'une Page Web, telles que des couleurs, de noms, et de dispositions de formatage.

Une Page Web de Search Engine, ou l'embout avant, est un exemple parfait de scripting dynamique. Le Search Engine de base n'est rien davantage qu'un petit programme qui questionne une base de données (ou plus spécifiquement, une table dans la base de données) pour n'importe quelle information assortie basée sur les critères que vous avez donnés. Par exemple, si vous voulez découvrir au sujet des chiens, vous dactylographiez simplement des chiens dans la recherche de boîte et de coup des textes.

La plupart des bases de données sont basées sur le langage d'interrogation structuré (SQL). Cette langue est principalement employée pour manoeuvrer l'information dans une base de données. En utilisant le SQL, vous pouvez questionner, mettre à jour, ajouter, supprimer, et effectuer d'autres actions sur des données dans quelques lignes courtes de code.

Voici une autre utilisation commune pour les emplacements base de données-conduits de Web. Jamais avez-vous été requis de saisir un username ou un mot de passe pour accéder à une Page Web ? Tout à fait souvent, votre entrée est comparée à une table de base de données, où votre nom et mot de passe d'utilisateur sont validés. S'il y a une explication le nom écrit d'utilisateur, et les allumettes de mot de passe, on vous accordera l'accès.

Pour illustrer, jetons un coup d'oeil plus étroit au processus, comme suit :

  1. L'utilisateur est invité à saisir rendent compte l'information.

  2. L'utilisateur entre dans ce qui suit : 

    User=Tom Pass=tompass
  3. L'information écrite est envoyée au serveur de Web.
  4. Une question de SQL est créée en utilisant l'information écrite de compte : 
    "CHOISISSEZ * À PARTIR des tblUsers OÙ USER='Tom 
'et PASS='tompass"
  5. La base de données renvoie les résultats.
  6. Un algorithme est employé pour déterminer si l'accès est autorisé.
  7. Si des résultats sont trouvés, l'accès est permis, et si aucun résultat n'est trouvé, l'accès est restreint.
  8. L'utilisateur est envoyé dans l'emplacement de Web ou envoyé de nouveau à la page d'ouverture.

Cette technologie impressionnante peut avoir des utilisations sans limites. Cependant, un intrus intelligent peut exploiter cette technologie pour accéder aux données sans authentification appropriée. Par exemple, supposez que notre intrus a exécuté les étapes suivantes au lieu de précédemment les énumérées.

  1. L'intrus est invité à saisir rendent compte l'information.

  2. L'intrus entre dans ce qui suit : 

    Utilisateur = 'ou passage de ''= 'ou ''
  3. L'information écrite est envoyée au serveur de Web.
  4. Une question de SQL est créée en utilisant l'information écrite de compte : 
    "CHOISISSEZ * À PARTIR des tblUsers OÙ UTILISATEUR = 
''ou ''et ''de PASS=''or
  5. La base de données renvoie les résultats.
  6. Un algorithme est employé pour déterminer si l'accès est autorisé.
  7. Si des résultats sont trouvés, l'accès est permis, et si aucun résultat n'est trouvé, l'accès est restreint.
  8. L'intrus accède parce que la base de données a renvoyé une liste de tous les utilisateurs !

Comme vous pouvez voir, grâce à la manipulation de l'intrus de la question sur la base de données, il a maintenant accès à l'emplacement fixé de Web.

Il y a beaucoup de manières que ce type d'attaque peut être employé. Les intrus peuvent supprimer, s'insérer, mettre à jour, et des données de vue en dupant le serveur de Web dans demander l'information supplémentaire d'une base de données. Bien que ceci prenne un arrangement plein de la langue de SQL, beaucoup d'intrus la savent déjà en raison de leurs conditions de travail.

Exploitation Des Formes De Web

Le type précédemment discuté de technique entaillante peut également être employé en exploitant des formes de Web. Tout à fait souvent, les formes de Web-based ont des champs "cachés" qui contiennent l'information qui est envoyée à un serveur de Web sans client le voyant jamais. Un exemple récent est un programme populaire de logiciel "de caddie" qui s'est avéré pour avoir les champs cachés contenir les prix des articles disponibles pour l'achat en ligne. Tout un intrus a dû faire devait télécharger la Page Web à son ordinateur et éditer le champ caché des prix à n'importe quelle valeur qu'elle a voulue. Cette valeur nouvelle et améliorée a été alors envoyée au logiciel de caddie pour le traitement. S'il n'y avait aucun humain alerte impliqué de traiter les achats, l'intrus n'aurait aucun problème trichant un magasin en ligne hors des milliers de dollars.

Ce sont certains des types les plus populaires d'exploits malveillantes sur l'Internet. Grâce à tous les différents types des interfaces utilisateur et de contenu dynamique sur l'Internet, intrus trouve facilement des trous. Des programmes de ftp, les programmes du serveur de SQL, les programmes de remote login, les langues scripting et même le HTML lui-même tout se sont avérés vulnérables à l'entrée inattendue cette des résultats dans la révélation d'information sensible. Tout qu'elle prend est un intrus avec un arrangement complet d'un programme de logiciel, ou même un kiddie de manuscrit avec un programme pré-fait qui trouve les trous, et un autre centre serveur des systèmes informatiques peut entrer vers le bas en flammes.

c'est un article supplémentaire par Yoko Jelkovich


Déni : Notre site Web n'est pas responsable de l'information contenue par cet article. Cet article reflète nullement les vues, les avis, les pensées ou la croyance du personnel d'annuaire d'articles.

Notification de traduction : L'article "comment se protéger contre les entrées inattendues" a été traduit en utilisant un service de traduction automatisé. Nous faisons des excuses sincèrement pour toutes les erreurs de traduction qui se sont produites. Merci de l'arrangement.


Online: 1066 users browsing the articles directory