Come proteggere dagli input inattesi

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Quando surf il Internet, trasferite uno dal sistema centrale verso i satelliti di due tipi di Web pagi al vostro calcolatore: statico o dinamico. Un Web page statico si siede su un web server fino a che un calcolatore del cliente gli non trasmetta una richiesta per. Una volta che chiesto, il Web page allora è trasferito esattamente al calcolatore del cliente mentre è stato generato, dove il web browser allora osserva la pagina. Un Web page statico è realmente nient'altro che un opuscolo o una pubblicità e che non permette che l'alimentazione allineare del Internet sia espressa. Tuttavia, una pagina statica è relativamente sicuro dai hackers.

In opposizione, i Web pagi dinamici esistono soltanto in un parziale dichiarano prima che siano chiesti. Usando le lingue scripting, un web server realmente riempe tutte le parti mancanti e genera il Web page prima che sia trasmesso al calcolatore del cliente. Questo tipo di creazione dinamica di Web page tiene conto interazione della base di dati, i carrelli di shopping e le parti su misura di un Web page, quali i colori, dei nomi e delle disposizioni di formattazione.

Un Web page di Search Engine, o l'estremità anteriore, è un esempio perfetto di scripting dinamico. Il Search Engine di base è nient'altro che un piccolo programma che interroga una base di dati (o specificamente, una tabella nella base di dati) per tutte le informazioni di corrispondenza basate sui test di verifica che avete dato. Per esempio, se desiderate scoprire circa i cani, scrivete semplicemente i cani a macchina nella ricerca della casella di testo e di colpo.

La maggior parte delle basi di dati sono basate sulla lingua di domanda strutturata (SQL). Questa lingua soprattutto è usata per maneggiare le informazioni in una base di dati. Usando lo SQL, potete interrogare, aggiornare, aggiungere, cancellare e realizzare altre azioni sui dati in alcune linee corte del codice.

Qui è un altro uso comune per i luoghi base di dati-guidati di fotoricettore. Mai siete stati tenuti a scrivere dentro un username o una parola d'accesso a macchina per accedere ad un Web page? Abbastanza spesso, la vostra entrata è confrontata ad una tabella della base di dati, in cui il vostri nome e parola d'accesso dell'utente sono convalidati. Se ci sono un rappresent il nome introdotto dell'utente ed i fiammiferi di parola d'accesso, sarete assegnati l'accesso.

Per illustrare, diamo un'occhiata più vicina al processo, come segue:

  1. L'utente è chiesto di scrivere dentro spiega le informazioni.

  2. L'utente entra in quanto segue: 

    User=Tom Pass=tompass
  3. Le informazioni inserite sono trasmesse al web server.
  4. Una domanda di SQL è generata usando le informazioni inserite di cliente: 
    "SELEZIONI * A PARTIRE dai tblUsers DOVE USER='Tom 'e 
PASS='tompass"
  5. La base di dati restituisce i risultati.
  6. Una procedura è usata per determinare se l'accesso sia consentito.
  7. Se i risultati sono trovati, l'accesso è permesso e se nessun risultato è trovato, l'accesso è limitato.
  8. L'utente è trasmesso nel Web site o è trasmesso di nuovo alla pagina di inizio attività.

Questa tecnologia impressionante può avere usi illimitati. Tuttavia, un hacker intelligente può sfruttare questa tecnologia per accedere ai dati senza autenticazione adeguata. Per esempio, supponga che il nostro hacker ha effettuato le seguenti operazione anziché elencate precedentemente quelle.

  1. Il hacker è chiesto di scrivere dentro spiega le informazioni.

  2. Il hacker entra in quanto segue: 

    Utente = 'o passaggio del ''= 'o ''
  3. Le informazioni inserite sono trasmesse al web server.
  4. Una domanda di SQL è generata usando le informazioni inserite di cliente: 
    "SELEZIONI * A PARTIRE dai tblUsers DOVE UTENTE = ''o ''e 
''di PASS=''or
  5. La base di dati restituisce i risultati.
  6. Una procedura è usata per determinare se l'accesso sia consentito.
  7. Se i risultati sono trovati, l'accesso è permesso e se nessun risultato è trovato, l'accesso è limitato.
  8. Il hacker accede perché la base di dati ha restituito una lista di tutti gli utenti!

Come potete vedere, grazie alla manipolazione del hacker della domanda sulla base di dati, ora ha accesso al Web site assicurato.

Ci sono molti sensi che questo tipo di attacco può essere usato. I hackers possono cancellare, inserire, aggiornare e dati di vista ingannando il web server nella richiesta delle informazioni supplementari da una base di dati. Anche se questo prende una comprensione solida della lingua di SQL, molti hackers già la conoscono come conseguenza delle loro esigenze di lavoro.

Sfruttamento Delle Forme Di Fotoricettore

Il tipo precedentemente discusso di tecnica d'incisione può anche essere usato nello sfruttamento delle forme di fotoricettore. Abbastanza spesso, le forme Fotoricettore-basate hanno campi "nascosti" che contengono le informazioni che sono trasmesse ad un web server senza il cliente che lo vede mai. Un esempio recente è "un programma popolare del software del carrello di shopping" che è stato trovato per avere campi nascosti contenere i prezzi degli articoli disponibili per l'acquisto in linea. Tutto un hacker ha dovuto fare doveva trasferire il Web page dal sistema centrale verso i satelliti al suo calcolatore e pubblicare il campo nascosto di prezzi a tutto il valore ch'ha desiderato. Questo nuovo e valore migliorato allora è stato trasmesso al software del carrello di shopping per procedere. Se non ci fossero esseri umani attenti addetti a procedere gli acquisti, il hacker non avrebbe problema che truffa un deposito in linea dalle migliaia dei dollari.

Questi sono alcuni dei tipi più popolari di imprese cattive sul Internet. Grazie a tutti i tipi differenti di interfacce di utente e di soddisfare dinamici sul Internet, hackers stanno trovando facilmente i fori. I programmi del ftp, programmi dell'assistente di SQL, programmi di remote login, lingue scripting e perfino HTML in se tutto sono stati trovati per essere vulnerabili ad input inatteso quel risultati nella rilevazione delle informazioni sensibili. Tutto che prendano è un hacker con una comprensione completa di un programma del software, o persino un kiddie dello scritto con un programma pre-fatto che trova i fori e un altro ospite dei sistemi di elaborazione può andare giù in fiamme.

ciò è un articolo aggiunto da Yoko Jelkovich


Diniego: Il nostro Web site non è responsabile delle informazioni contenute da questo articolo. Questo articolo in nessun modo riflette le viste, le opinioni, i pensieri o la credenza del personale dell'indice degli articoli.

Avviso di traduzione: L'articolo "come proteggere dagli input inattesi" è stato tradotto usando un servizio di traduzione automatizzato. Chiediamo scusa francamente per tutti gli errori di traduzione che hanno accaduto. Grazie per capire.


Online: 1269 users browsing the articles directory