Como proteger de encontro às entradas inesperadas

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Quando você surf o Internet, você download um de dois tipos de Web pages a seu computador: de estática ou dinâmico. Um Web page de estática senta-se em um web server até que um computador do cliente emita um pedido para ele. Uma vez que pedido, o Web page downloaded então ao computador do cliente exatamente enquanto foi criado, onde o web browser vê então a página. Um Web page de estática não é realmente nada mais do que um folheto ou uma propaganda, e não permite que o poder verdadeiro do Internet seja expressado. Entretanto, uma página de estática é relativamente segura dos hackers.

No contraste, os Web pages dinâmicos existem somente em um estado parcial antes que estejam pedidos. Usando línguas scripting, um web server preenche realmente todas as peças faltantes e cría o Web page antes que esteja emitido ao computador do cliente. Este tipo de criação dinâmica do Web page permite a interação da base de dados, os carros de shopping, e partes customized de um Web page, tais como cores, de nomes, e de disposições do formato.

Um Web page do Search Engine, ou a extremidade dianteira, são um exemplo perfeito de scripting dinâmico. O Search Engine básico não é nada mais do que um programa pequeno que pergunte uma base de dados (ou mais especificamente, uma tabela na base de dados) para toda a informação combinando baseada nos critérios que você deu. Por exemplo, se você quiser encontrar para fora sobre cães, você datilografa simplesmente cães na busca da caixa e da batida de texto.

A maioria de bases de dados são baseadas na língua de pergunta estruturada (SQL). Esta língua é usada primeiramente manipular a informação em uma base de dados. Usando o SQL, você pode perguntar, atualizar, adicionar, suprimir, e executar outras ações em dados em algumas linhas curtas do código.

Está aqui um outro uso comum para locais base de dados-dirigidos da correia fotorreceptora. Você sempre foi requerido datilografar dentro um username ou uma senha para alcançar um Web page? Completamente frequentemente, sua entrada é comparada a uma tabela da base de dados, onde seus nome e senha do usuário sejam validados. Se houver esclarecer o nome dado entrada com do usuário, e os fósforos da senha, você estará concedido o acesso.

Para ilustrar, deixe-nos fazer exame de um olhar mais próximo no processo, como segue:

  1. O usuário é pedido para datilografar dentro explica informação.

  2. O usuário entra no seguinte: 

    User=Tom Pass=tompass
  3. A informação incorporada é emitida ao web server.
  4. Uma pergunta do SQL é criada usando a informação incorporada do cliente: 
    "SELECIONE * dos tblUsers ONDE USER='Tom ' e 
PASS='tompass'"
  5. A base de dados retorna os resultados.
  6. Um algoritmo é usado determinar se o acesso está permitido.
  7. Se os resultados forem encontrados, o acesso está permitido, e se nenhum resultado for encontrado, o acesso é restrito.
  8. O usuário é emitido no Web site ou emitido para trás à página do início de uma sessão.

Esta tecnologia awesome pode ter usos ilimitados. Entretanto, um hacker inteligente pode explorar esta tecnologia para alcançar os dados sem authentication apropriado. Para o exemplo, suponha que nosso hacker executou as seguintes etapas em vez das previamente listadas.

  1. O hacker é pedido para datilografar dentro explica informação.

  2. O hacker entra no seguinte: 

    Usuário = ' ou passagem do '' = ' ou ''
  3. A informação incorporada é emitida ao web server.
  4. Uma pergunta do SQL é criada usando a informação incorporada do cliente: 
    "SELECIONE * dos tblUsers ONDE USUÁRIO = ' ' ou '' e '' 
de PASS=''or
  5. A base de dados retorna os resultados.
  6. Um algoritmo é usado determinar se o acesso está permitido.
  7. Se os resultados forem encontrados, o acesso está permitido, e se nenhum resultado for encontrado, o acesso é restrito.
  8. O hacker ganha o acesso porque a base de dados retornou uma lista de todos os usuários!

Como você pode ver, agradecimentos à manipulação do hacker da pergunta na base de dados, tem agora o acesso ao Web site fixado.

Há muitas maneiras que este tipo de ataque pode ser usado. Os hackers podem suprimir, introduzir, atualizar, e dados da vista enganando o web server em pedir a informação extra de uma base de dados. Embora isto faça exame de uma compreensão contínua da língua do SQL, muitos hackers sabem-na já em conseqüência de suas exigências de trabalho.

Explorando Formulários Da Correia fotorreceptora

O tipo previamente discutido de técnica cortando pode também ser usado em explorar formulários da correia fotorreceptora. Completamente frequentemente, os formulários Correia-baseados têm os campos "escondidos" que contêm a informação que é emitida a um web server sem o cliente que vê sempre o. Um exemplo recente é de "um programa popular do software do carro shopping" que seja encontrado para ter campos escondidos conter os preços dos artigos disponíveis para a compra em linha. Todo o um hacker teve que fazer devia download o Web page a seu computador e editar o campo escondido do preço a todo o valor que quisesse. Este valor novo e melhorado foi emitido então ao software do carro de shopping para processar. Se não houvesse nenhum ser humano alerta envolvido com processar as compras, o hacker não teria nenhum problema que faz batota uma loja em linha fora dos milhares dos dólares.

Estes são alguns dos tipos os mais populares de façanhas maliciosas no Internet. Os agradecimentos a todos os tipos diferentes de relações de usuário e de índice dinâmico no Internet, hackers estão encontrando fàcilmente furos. Os programas do ftp, do usuário do SQL os programas, os programas do remote login, as línguas scripting e mesmo o HTML próprios todo foram encontrados para ser vulneráveis a entrada inesperada essa resultados na divulgação da informação sensível. Tudo que faz exame é um hacker com uma compreensão completa de um programa do software, ou mesmo um kiddie do certificado com um programa pre-feito que encontre os furos, e um outro anfitrião dos sistemas computatorizados pode ir para baixo nas flamas.

este é um artigo adicionado por Yoko Jelkovich


Disclaimer: Nosso Web site não é responsável para a informação contida por este artigo. Este artigo em nenhuma maneira reflete as vistas, as opiniões, os pensamentos ou a opinião da equipe de funcionários do diretório dos artigos.

Observação da tradução: O artigo "como proteger de encontro às entradas inesperadas" foi traduzido usando um serviço de tradução automatizado. Nós desculpamo-nos sincerely por todos os erros da tradução que ocorram. Obrigado compreendendo.


Online: 1162 users browsing the articles directory