الشعاع هو معروف الى مجموعة من نقاط الضعف التي إما أن تكون عرضت في البروتوكول نفسه او بسبب سوء التنفيذ العملاء. عديمي الجنسيه فإن الحزب نفسه يتيح البروتوكول اسهل الرزمه تزوير والغش. نقاط الضعف المبينه في هذا الباب لا تمثل قائمة كاملة من قضايا البروتوكول وترد لتسليط الضوء على عدة أساليب للتحايل على المستخدم التوثيق. ويمكن تلخيص الهجمات في الفئات التالية :
|
|
- ارغام الغاشمه من المستخدمين وثائق التفويض
الحرمان من الخدمات
دورة الاعاده
مغشوش علبة الحقن
الرد الموثق بالدرجه الاولى على اساس md5 البعثره. واذا كان المهاجم يلاحظ صالحة - طلب الوصول ، والوصول - قبول ، او رفض الوصول - الحزمه التسلسل ، وانه غير قادر على شن هجوم شامل غير متصل على تقاسم سرا. وهو مهاجم يمكن ان يحسب md5 البعثره ل(قانون رقم تعريف + + طول + + requestauth الصفات) ، كما ان غالبية تجميع اجزاء من الموثق معروفة ، وثم استئنافها بالنسبة لكل مشترك سرا تخمين.
بسبب الطريقة التي المستخدم / كلمة السر المحميه وثائق التفويض ، والمهاجمون يمكن الحصول على معلومات حول تقاسم سرا اذا أنها تستطيع أن ترصد محاولات التوثيق. وبافتراض ان المفرقع يمكن محاولة لتوثيق مع معروف وكلمة السر ثم التقاط مما ادى الى وصول - طلب الرزمه ، وانه غير قادر على اكس اور المحميه جزء من المستخدم - كلمة السر يعزو مع كلمة السر التي قدماها الى الزبون. كما طلب هو معروف وموثق ويمكن الاطلاع على العميل في الوصول - طلب الرزمه ، المهاجم يمكن شن غير متصل القوة الغاشمه - الهجوم على تقاسم سرا.
هذا هو مماثل لهجوم السابقة : بمعرفه المشتركة السرية بنجاح المهاجم يمكن ان نعدد المستخدم وكلمة السر عن طريق تعديل المعدل الاعاده - وصول طلب من اجمالي الصادرات. وبالاضافة الى ذلك ، اذا كان الخادم لا انفاذ مستخدم على اساس حدود التوثيق ، وهذا سيسمح لمهاجم بكفاءه اداء حصريه على شبكة الانترنت للبحث عن المستخدم كلمة السر الصحيحه. نتذكر دائما ان توثيق بيانات قوية للمخطط في الوصول - طلب الرزمه سيجعل هذا الهجوم شبه مستحيل.
شعاع الرزمه الأمن يتوقف على تشكيل طلب الموثق الميداني. وهكذا ، طلب الموثق يجب أن يكون فريدا وnonpredictable لشعاع لتكون آمنة. ومع ذلك ، فان البروتوكول المواصفات لا نشدد على اهمية الموثق خلق جيل وعدد كبير من التطبيقات التي تؤدي في بعض الاحيان الى سوء المتولده طلب الموثق. واذا كان الزبون يستخدم prng ان يكرر القيم او كان له دوره قصيرة ، يمكن ان يجعل هذا البروتوكول غير فعالة في توفير قدر من الامن على المستوى المرغوب.
المهاجم يمكن أن يولد قاعدة بيانات للطلب الموثقون ، وتحديد الهوية ، وما يرتبط بها بشكل دوري خادم الردود الشم واعتراض الخادم / العميل المرور. وعندما طلب المفرقع يرى ان الاستخدامات طلب الموثق مطابقه قاعدة البيانات مداخل ، وانه غير قادر على مهزله كما الخادم وتكرار سابقا لاحظ خادم استجابة. وبالاضافة الى ذلك ، يمكن تكرار المهاجم الصحيحه متطلعا - تقبل وصول خادم استجابة وبنجاح في مصادقة على العميل بدون وثائق التفويض الصحيحه.
شعاع القياسيه تصاريح استخدام نفس المشتركة سرا عن طريق العديد من العملاء. وهذه المنهجيه هي غير آمنة ، لانها تتيح للعميل اي معيبه وسطا لكثير من الآلات. ننصحك ان تختار بعناية سرا القيم المشتركة لكل من العملاء وجعلها قيمة nondictionary ان من الصعب تخمين ، مع الحفاظ على الأمن المادي للعميل الاجهزه.
Online: 459 users browsing the articles directory
|
|