Hoe te beschermen tegen Onverwachte Ingangen

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Wanneer u surfen op het internet, download je een van de twee typen van webpagina's op uw computer: statisch of dynamisch. Een statische webpagina zit op een webserver tot een client computer stuurt een verzoek voor. Eenmaal gevraagd, is de webpagina vervolgens gedownload naar de client-computer precies zoals het is gemaakt, waar de webbrowser vervolgens de standpunten van de pagina. Een statische webpagina is eigenlijk niets meer dan een brochure of advertentie, en staat niet toe dat de ware kracht van het internet te worden uitgedrukt. Er is echter een statische pagina relatief veilig tegen hackers.

In contrast, dynamische webpagina's bestaan alleen in een gedeeltelijke staat voordat ze worden gevraagd. Met behulp van scripttalen, een webserver daadwerkelijk in alle vult de ontbrekende delen en creëert de webpagina voordat het wordt verstuurd naar de computer van de klant. Dit type van dynamische webpagina creatie maakt voor database-interactie, winkelwagentjes en aangepaste onderdelen van een webpagina, zoals kleuren, namen, opmaak en lay-outs.

Een zoekmachine webpagina of front-end, is een perfect voorbeeld van dynamische scripts. De belangrijkste zoekmachine is niets meer dan een klein programma dat een database query's (of meer specifiek, een tabel in de database) voor een bijpassende informatie op basis van de criteria die u heeft gegeven. Bijvoorbeeld, als u wilt weten over honden, je typt honden in het tekstvak en klik op zoeken.

De meeste databases zijn gebaseerd op de Structured Query Language (SQL). Deze taal wordt voornamelijk gebruikt om informatie te manipuleren in een database. Met behulp van SQL, kunt u de query, updaten, toevoegen, verwijderen en andere acties uitvoeren op gegevens in een paar regels code.

Hier is een ander gemeenschappelijk gebruik voor database-driven websites. Hebt u ooit nodig was om in een gebruikersnaam of wachtwoord voor toegang tot een webpagina? Vaak is uw inschrijving vergeleken met een database tabel, waar uw gebruikersnaam en wachtwoord zijn gevalideerd. Als er een rekening voor de ingevoerde gebruikersnaam en het wachtwoord wedstrijden, krijgt u toegang worden verleend.

Om dit te illustreren, laten we eens een kijkje op het proces, als volgt:

  1. De gebruiker wordt verzocht in te typen account informatie.

  2. De gebruiker voert de volgende: 

    User = Tom Pass = tompass
  3. De ingevoerde informatie wordt verstuurd naar de webserver.
  4. Een SQL-query wordt gemaakt met behulp van de ingevoerde account informatie: 
    "SELECT * FROM tblUsers WHERE user = 'Tom' en PASS = 'tompass'"
  5. De database geeft de resultaten.
  6. Een algoritme wordt gebruikt om te bepalen of de toegang is toegestaan.
  7. Indien de resultaten worden gevonden, is de toegang ingeschakeld, en als er geen resultaten worden gevonden, is de toegang beperkt.
  8. De gebruiker wordt ofwel verstuurd naar de website of teruggestuurd naar de aanmeldingspagina.

Deze awesome technologie kan hebben onbegrensde gebruiksmogelijkheden. Toch kan een slimme hacker exploiteren deze technologie om de gegevens zonder een goede authenticatie toegang. Stel bijvoorbeeld dat onze hacker uitgevoerd, worden de volgende stappen in plaats van de eerder genoemde Ones.

  1. De hacker wordt gevraagd in te typen account informatie.

  2. De hacker komt de volgende: 

    User = 'of''Pass =' of''
  3. Ingevoerde informatie wordt verstuurd naar de webserver.
  4. Een SQL-query wordt gemaakt met behulp van de ingevoerde account informatie: 
    "SELECT * FROM tblUsers WHERE USER =''of''en PASS =''of''
  5. De database geeft de resultaten.
  6. Een algoritme wordt gebruikt om te bepalen of de toegang is toegestaan.
  7. Indien de resultaten worden gevonden, is de toegang ingeschakeld, en als er geen resultaten worden gevonden, is de toegang beperkt.
  8. De hacker toegang krijgt omdat de database terug een lijst van alle gebruikers!

Zoals u kunt zien, dankzij de manipulatie van de hacker van de query op de database, heeft hij nu toegang tot de beveiligde website.

Er zijn vele manieren om dit type aanval kan worden gebruikt. Hackers kunnen verwijderen, invoegen, bijwerken en bekijken gegevens door tricking de Web server in verzoekende extra informatie uit een database. Hoewel dit vergt wel een grondige kennis van de SQL-taal, veel hackers al weet dat het als gevolg van hun werk eisen.

Benutting van Web Forms

De eerder besproken soort van hacking techniek kan ook worden gebruikt bij de exploitatie van webformulieren. Heel vaak, web-gebaseerde formulieren zijn "verborgen" velden die informatie die wordt verstuurd naar een webserver zonder dat de klant steeds ziende bevatten. Een recent voorbeeld is een populaire "winkelwagen" software programma dat werd gevonden om verborgen velden met de prijzen van de items die beschikbaar zijn voor aankoop online te hebben. Al een hacker moest doen was het downloaden van de webpagina om haar computer en de verborgen veld Prijs bewerken om enige waarde ze wilde. Dit nieuwe en verbeterde waarde werd vervolgens aan de winkelwagen software voor de verwerking. Als er geen waarschuwingen mensen die betrokken zijn bij de verwerking van de aankopen, zou de hacker geen probleem vreemdgaan een online winkel van duizenden dollars.

Dit zijn enkele van de meest populaire soorten kwaadaardige exploits op het internet. Dank aan alle verschillende soorten gebruikers interfaces en dynamische inhoud op het internet, zijn hackers gemakkelijk te vinden gaten. FTP-programma's, SQL server programma's, remote login programma's, scripting talen en zelfs HTML-zelf allemaal bleken te zijn kwetsbaar voor onverwachte input die leidt tot de onthulling van gevoelige informatie. Allen het neemt is een hacker met een grondige kennis van een software-programma, of zelfs een script kiddie met een pre-made programma dat de gaten vindt, en een andere host van computersystemen kan omlaag gaan in vlammen op.

een artikel afkomstig van Yoko Jelkovich

Disclaimer: Onze website is niet verantwoordelijk voor de informatie in dit artikel. In dit artikel wordt op geen enkele manier de standpunten, meningen, gedachten of overtuigingen van de artikelen directory personeel.
Vertaling aankondiging: Het artikel "Hoe te beschermen tegen onverwachte Ingangen" werd vertaald met behulp van een geautomatiseerde vertaling dienst. Onze excuses voor eventuele vertaalfouten die heeft plaatsgevonden. Dank u voor uw begrip.


Online: 928 users browsing the articles directory