منهجيه التقطيع الويب
الهدف الرئيسي من هذه المادة هو المنصوص عليها ويب تطبيق منهجيه الاستعراض ان الامن هو شامل ، ودود ، ومتكررة من جانب القراء الذين يرغبون في تطبيق حكمة قمنا المكتسبه على مدى سنوات من الاداء المهني لهم. الخطوات الأساسية في المنهجيه
- ملف البنية التحتية
- الهجوم خدمة ويب
- مسح الطلب
- الهجوم التوثيق اليه
- هجوم على مخططات الترخيص
- اجراء تحليل وظيفي
- استغلال البيانات الربط
- الهجوم ادارة الوصلات
- الهجوم العميل
- اطلاق الحرمان من الخدمة هجوم
نبذة البنية التحتية
الخطوة الأولى في المنهجيه هي تسقط رفيع المستوى المستهدف فهم الهيكل الاساسي للشبكة العالمية. هل يوجد الخاصة اللازمة لربط الزبائن الى التطبيق؟ ما نقل انها لا تستخدم؟ اكثر من التي الموانئ؟ Howmany خدمة هل هناك؟ هل هناك حمل الموازن؟ ما هو النموذج وتجعل من ملقم الويب (ق)؟ هي المواقع الخارجية تعتمد على الاداء الوظيفي لبعض؟
هجوم خدمة ويب
العدد الهائل من ملقم الويب برمجيات مواطن الضعف التي نشرت هذا يجعل واحدة من أولى وعادة الأكثر نفعا مجالات البحث على الشبكه العالمية للهاكر. إذا موقع الادارة هو مهمل ، يمكنك ان تضغط على الجاءزه هنا.
مسح الطلب
اذا لم يكن هناك مواطن ضعف خطيرة وقد تبين حتى الآن ، لحسن تطبيق المصممين (او ربما انهم مسرورون للتو اكي). وينتقل الاهتمام الآن الى اكثر حبيبي فحص مكونات تطبيق حد ذاته - أي نوع من المحتوي على يتعارض مع خادم؟ مسح على شبكة الانترنت تطبيق محاولات للتمييز بين ما تطبيق التكنولوجيات تنتشر (حية ، isapi ، جاوه ، CGI ، وغيرهم؟) ، والدليل هيكل وتكوين ملف للموقع ، أي محتوى موثقا وانواع التوثيق المستخدمة ، والربط الخارجية (ان وجدت (، وطبيعه الخلفية نهاية مخازن (ان وجدت). هذا هو على الارجح واحدة من اهم الخطوات في منهجيه ، كما الهفوات هنا يمكن أن يكون لها آثار كبيرة على مجمل دقة وموثوقيه التطبيق برمته الاستعراض.
هجوم التوثيق اليه
وجدت موثقا المحتوى هو اكتشفت في الخطوة السابقة ، وينبغي تحليلها بدقة ، لأنها على الارجح يحمي المناطق الحساسة من موقع. تقنيات لتقدير قوة التوثيق الآلي لتشمل السمات كلمة السر الحزر الهجمات ، والغش الرموز داخل كعكه ، وهلم جرا.
هجوم على مخططات الترخيص
عندما يكون المستخدم من صحتها ، والخطوة التالية هي الهجوم الوصول الى الملفات وغيرها من الاشياء. وهذا لا يمكن تحقيقه بطرق شتى - من خلال دليل السفر عبر التقنيات ، وتغيير المستخدم من حيث المبدأ) على سبيل المثال ، عن طريق تغيير شكل كعكه او القيم) ، الطالبة الاشياء الخفيه مع guessable اسماء ، محاولة canonicalization الهجمات المتصاعده الامتيازات ، وحفر الانفاق مميزة الاوامر الى لغة الاستعلامات البنيويه خادم.
اجراء تحليل وظيفي
آخر خطوة حاسمة في منهجيه التحليل الفعلي لكل فرد وظيفة للتطبيق. جوهر التحليل الوظيفي هو تحديد وظيفة كل عنصر من تطبيق (على سبيل المثال ، من اجل المساهمة ، والتأكيد ، وتتبع النظام) ومحاولة لحقن الاعطال الى مساهمه كل وعاء. هذه العملية محاولة من الخطأ الحقن الامن المركزي لاختبار البرمجيات ، ويشار اليه احيانا كمدخل valida
نشوئها الهجمات.
استغلال البيانات الربط
بعض من اكثر الهجمات المدمره على التطبيقات الشبكيه تتصل فعلا الى الوراء في نهاية قاعدة البيانات. بعد كل شيء ، ان للعادة فيها جميع من كثير العصير الزبون وتخزن البيانات على أي حال ، الحق؟ ونظرا للعدد لا يحصى من الطرق المتاحة لربط الشبكه مع تطبيقات قواعد البيانات ، ومطوري الويب تميل الى التركيز على انجع وسيلة لجعل هذا الصدد ، وليس اكثر امنا.
الهجوم ادارة الوصلات
حتى الآن ، لم نناقش واحدة من الخدمات الاساسية الاخرى التي عادة ما او على نحو يتعارض مع التطبيقات الشبكيه : ادارة الناءيه. المواقع على شبكة الانترنت تديرها 24 / 7 ، الأمر الذي يعني أنها ليست دائما ممكنة لمشرف الموقع ليكون جالسا في مركز بيانات شيئا عندما يحتاج تحديث او تثبيت. مجتمعه مع النزعه الطبيعيه للويب لقوم الناءيه عن بعد (اي اللباس المطلوب) ، وهو جيدا ان اي رهان على الشبكه نظرا لتطبيق الهندسه المعماريه وقد ميناء مفتوحا في مكان ما تسمح الناءيه صيانة حواسيب ، والمحتوى ، ويعود في نهاية قواعد بيانات ، و هلم جرا.
وبالاضافة الى ذلك ، للتو عن كل التواصل المنتج (أجهزة أو برامج) التي اعدت منذ منتصف التسعينات من المرجح ان يشحن تعتمد على شبكة الانترنت وصلة ادارة بالظهور على ترسيخ ملقم الويب.
هجوم العميل
في السنوات العديده من المهنيه الويب تطبيق الاختبار ، ولقد قمنا يا الاهي ينظر الى بضعة استعراضات اتخاذ الوقت المناسب للنظر في الاعتداءات ضد العميل الجانب من شبكة تطبيق الهندسه المعماريه. هذا هو اجمالية الرقابة في تقديرنا ، حيث كانت هناك بعض الهجمات المدمره ضد اوساط مستخدمي الانترنت على مر السنين ، بما عبر موقع كتابة الذرائع ، مثل تلك التي نشرت لايباي ، ه * التجارة ، وسيتيغروب للمواقع على شبكة الانترنت ، كما بالاضافة الى الانترنت - ولد nimda مثل الديدان التي يمكن بسهولة ان تنفذ ضمن مارقه موقع عن طريق الاتصال بالبريد الالكتروني وموقع على الملايين من البشر ، أو منشورة على شعبية ومجموعة الاخبار ، او ترسل عبر دردشه.
اطلاق الحرمان من الخدمة هجوم
وبافتراض ان المهاجم لم بدأت في عند هذه النقطه في المنهجيه ، والملاذ الاخير للمهزومه في الاعتبار هو الحرمان من الخدمة (دوس) ، حزينة ولكن حقيقية من عناصر شبكة الانترنت اليوم. كما يوحي اسمها ، ودوس ويصف القانون الصادر في انكار شبكة وظيفيه لتطبيق الشرعية المستخدمين. ومن عادة ما يقوم بها اصدار طوفان من المرور الى موقع ما ، وغرق من اصل الطلبات المشروعة.
تنصل : موقعنا ليست مسؤولة عن المعلومات الواردة في هذه المادة. هذه المادة ولا يعبر باي حال عن آراء ، آراء ، والافكار او المعتقدات من المواد دليل الموظفين.
ترجمة أشعار : مادة "المنهجيه من القرصنه على الانترنت" وقد ترجم تستخدم مشغل داءره الترجمة. ونحن نعتذر عن اي باخلاص اخطاء الترجمة التي وقعت. شكرا للتفاهم.
Online: 513 users browsing the articles directory
 . |