Пентест дегеніміз не және оның әдістеріне сипаттама
жүктеу/скачать 179,96 Kb.
|
ИОЗИ Лабка №9
kardiologiya16, АИГ (1), isprav KAZEKZAM otv, Документ Microsoft Word, Ерік еркіндігі м селесін зерделеу ж не т сіндіру. «Еркін ерік», Мустафин Алишер, памятка куратору
| Пентест дегеніміз не және оның әдістеріне сипаттама беріңіз? Осалдықтардың(Уязвимости) келесі түрлеріне сипаттама беріңіз: XSS (Cross-Site Scripting) XSRF / CSRF (Request Forgery) Code injections (SQL, PHP, ASP и т.д.) Authorization Bypass ЖАУАП: Енулерді тестілеу немесе пентест – бұл зерттелетін ресурстың ақпараттық қауіпсіздік деңгейіне объективті баға алуға, оның осалдығы мен әлсіздіктерін анықтауға бағытталған ұйымның ақпараттық ресурсын бағалау әрекеті. Енулерді тестілеу Тапсырыс берушіге қолданылатын қорғаныс құралдарының тиімді екенін және шабуылдаушының ақпаратты бұзу және алу ықтималдығы қандай екенін түсінуге мүмкіндік береді. Дәлірек айтқанда, компанияның IТ инфрақұрылымының қауіпсіздігі оның веб-сайттарындағы мәліметтер мен DNS жазбаларына негізделген "пентест"деп аталатын ену тестілеуін жүргізу арқылы бағаланады. Пентест ұйымның ақпараттық ортасының әлеуетті қауіпсіздік бұзушының сыртқы және ішкі қауіп-қатерлерінен қорғалуының объективті бағасын алуға арналған. Ену тестін жүргізу кезінде шабуылдаушының клиенттің ақпараттық жүйесіне енуге бағытталған әрекеттері модельденеді. Пентест мүмкіндік береді: Ақпараттық қауіпсіздік жүйесіндегі ең осал жерлерді анықтау; Зиянкес ұйымның ақпараттық ортасына қандай тәсілмен және қандай осалдықтар арқылы ене алатынын түсіну; Ұйымның ақпараттық ортасы қауіпсіздігінің жалпы деңгейіне объективті баға беру; Осындай әрекеттердің ықтимал салдарын бағалау. Компаниялардың пентестті жүргізу туралы ойлауының негізгі себептері: Ақпараттық қауіпсіздікті басқарудың қолданыстағы жүйесін бағалау; Ұйымның жеке ресурстарының немесе қорғау құралдарының қорғалуын бағалау; Зиянкестердің іс-әрекеттерінен болуы мүмкін залалды талдау; Ұйым персоналының іс-қимылын бағалау. Аудиттің негізгі объектілері Сыртқы web-ресурстар және Тапсырыс берушінің жергілікті желісі болып табылады. Тестті жүргізу кезінде техникалық әдістерден басқа, ақпараттық қауіпсіздік мәселелерінде қызметкерлердің дайындық деңгейін бағалауға мүмкіндік беретін әлеуметтік инженерия әдістері де қолданылады. Пайдаланушыларды белгілі бір әрекеттерді орындауға мәжбүр ететін электрондық хаттарды жіберу немесе АТ қызметіне телефон арқылы қоңырау шалу арқылы ұйым қызметкерлерінен қажетті ақпаратты білуге тырысу мүмкін. Барлық шарттар мен әрекеттер Тапсырыс берушімен алдын ала келісіледі және бекітіледі. Аудит жүргізу мерзімін бір мәнді анықтау өте қиын, олар жұмыс ауқымына және тестілеу объектілерінің қорғалу деңгейіне байланысты өзгеріп отырады. Ену тестінің ең аз мерзімі 2 аптадан басталады. Аудиттің бірінші кезеңінде белгілі және бар осалдықтарды айқындауға мүмкіндік беретін автоматтандырылған құралдар пайдаланылады, егер олар болмаса, онда мамандар енуге тест үшін мамандандырылған шешімдер әзірлейді, бұл ретте шабуыл жасалатын объектінің ерекшелігі мен адами фактор ескеріледі. Пентесттің келесідей әдістері бар: ISA, PCI, PCI, PTS, OWASP және OSSTMM. Жарияламау туралы келісім (NDA). Ену тестін өткізер алдында орындаушы компания мен Тапсырыс беруші компания жарияламау туралы келісімге (NDA) қол қояды, бұл құжат ену тесті барысында алынған ақпараттың құпиялылығына кепілдік береді. Енуге тестілеудің 5 әдісі Деректер ағып кетуіне байланысты компаниялар көп ақша жоғалтады. IBM бағалауы бойынша, 2020 жылы ағып кетудің орташа шығыны 3,86 миллион долларды құрады. Бұл ретте мұндай инциденттердің жартысы зиянкестердің шабуылдарынан туындаған. Ену тестілеуі деректердің ағып кетуіне жол бермейді, өйткені басқалармен қатар шабуылдарды имитациялауды қамтиды. Пентест компаниялардың ат- инфрақұрылымындағы нақты осалдықтарды анықтауға, сондай-ақ зиянкестердің әрекеттерінен болатын ықтимал залалды бағалауға мүмкіндік береді. Кәсіби тестілеушілер ақпараттық қауіпсіздік саласында қабылданған арнайы әдістемелер мен стандарттарды ұстанады. Ең танымал және беделді 5-ті бөлуге болады: OSSTMM, NIST SP800-115, OWASP, ISSAF және PTES. Пентесттерді жүргізу үшін Сіз әдістердің бірін қолдана аласыз, бірақ тәжірибелі аудиторлар бірден бірнеше қолданады. Таңдау нақты ұйымға, оның бизнес-процестеріне және ақпараттық қауіпсіздік процестеріне байланысты. Әрбір әдіснаманы толығырақ қарастырыңыз. [text_with_btn BTN="көбірек білу" link="/ru-kz/services/info- security/penetration-test / " btn_size="small"] енуге тестілеу [/text_with_btn] OSSTMM The Open Source Security Testing Methodology Manual (OSSTMM) — security and Open Methodologies (ISECOM) Institute for Security and Open Methodologies (ISECOM) әзірлеген ең танымал стандарттардың бірі. OSSTMM тестілеудің егжей-тегжейлі жоспарын, қауіпсіздік деңгейін бағалауға арналған өлшемдерді және қорытынды есепті жасауға арналған ұсыныстарды ұсынады. Стандарт авторлары OSSTMM — ге сәйкес жүргізілген тест егжей- тегжейлі және жан-жақты, ал нәтижелері өлшенетін және фактілерге негізделетініне кепілдік береді. Әдістеме операциялық қауіпсіздікті тестілеу үшін бес негізгі арнаны (бағыттарды) ұсынады. Арналарға бөлу ұйымның қауіпсіздік деңгейін жан- жақты бағалауға көмектеседі және тестілеу процесін жеңілдетеді. Адам қауіпсіздігі. Адамдардың физикалық немесе психологиялық өзара әрекеттесуіне тікелей байланысты қауіпсіздік. Физикалық қауіпсіздік. Кез-келген материалдық (электронды емес) қауіпсіздік элементі, оның жұмысы физикалық немесе электромеханикалық әсерді білдіреді. Сымсыз байланыс. Wi-Fi-дан инфрақызыл сенсорларға дейінгі барлық сымсыз байланыс құралдарының қауіпсіздігі. Телекоммуникация. Телефон байланысының аналогтық немесе сандық құралдары. Бұл негізінен телефонияға, сондай-ақ телефон желілері арқылы қызметтік ақпаратты беруге қатысты. Деректерді беру желілері. Ішкі және сыртқы корпоративтік желілердің, интернет-қосылымдардың және желілік жабдықтардың қауіпсіздігі. OSSTMM-бұл әмбебап стандарт, өйткені ену тестілеуін жүргізу кезінде негізгі нұсқаулық болуы мүмкін. OSSTMM көмегімен пентестер өзінің бизнес- процестерін, технологиялық және салалық ерекшеліктерін ескере отырып, әр нақты компания үшін қауіпсіздік деңгейінің жеке бағасын орната алады. NIST SP800-115 NIST Special Publications 800 Series-ұлттық стандарттар мен технологиялар институты әзірлеген ақпараттық қауіпсіздік стандарты. Sp 800-115 стандартының кіші бөлімінде ақпараттық қауіпсіздік деңгейін бағалаудың техникалық мәселелері, енуге тестілеуді өткізу тәртібі сипатталған, нәтижелерді талдау және тәуекелдерді төмендету бойынша шараларды әзірлеу бойынша ұсынымдар келтірілген. Құжаттың соңғы нұсқасы кибершабуылдардан болатын қауіптерді азайтуға көп көңіл бөледі. NIST SP800-115-әртүрлі салалардағы, соның ішінде қаржылық және АТ- компаниялардағы ұйымдардың ақпараттық қауіпсіздік деңгейін тексеру үшін қолдануға болатын техникалық нұсқаулық. Бұл кәсіби аудиторлық компаниялар қолданатын пентест жүргізудің міндетті әдістерінің бірі. Стандарт, басқалармен қатар, сипаттайды: Зерттеу әдістері: құжаттамаға, журналдарға, ережелерге, жүйелік конфигурацияға шолу, желіні бұзу, файлдардың тұтастығын тексеру. Мақсатты осалдықтарды тексеру әдістері: парольдерді бұзу, әлеуметтік инженерия, пентест. Қауіпсіздікті бағалау: үйлестіру, деректерді өңдеу, талдау және бағалау. Тестілеу қорытындысы бойынша іс-әрекеттер: тәуекелдерді төмендету бойынша ұсынымдар, есеп дайындау, осалдықтарды жою. OWASP Open Web Application Security Project (OWASP) — қосымшаларды, сайттарды және API интерфейстерін тестілеу үшін ең жан-жақты әдіснаманы ұсынатын ашық интернет-қауымдастық. OWASP құжаттамасы қауіпсіз бағдарламалық жасақтаманы жасауға қызығушылық танытатын кез-келген IT компаниясына пайдалы. OWASP бірнеше құжаттар мен нұсқаулықтарды шығарды. OWASP Top 10. Веб және мобильді қосымшалардың, IoT құрылғыларының және API - нің жиі кездесетін осалдықтарын сипаттайтын құжат. Қауіптер күрделілігі мен олардың бизнеске әсер ету дәрежесі бойынша реттеледі. Тестілеу бойынша нұсқаулық (OWASP testing Guide). Онда веб- қосымшалардың қауіпсіздігін тексерудің әртүрлі әдістері, сондай-ақ тәжірибеден алынған мысалдар бар. Әзірлеушілерге арналған нұсқаулық (OWASP Developer Guide). Мұнда қауіпсіз және сенімді кодты жазу бойынша ұсыныстар берілген. Код қауіпсіздігін тексеру (OWASP Code Review). Нұсқаулықты веб-әзірлеушілер де, өнім менеджерлері де қолдана алады. Құжат қолданыстағы кодтың қауіпсіздігін тексерудің тиімді әдістерін ұсынады. OWASP-тің басты артықшылықтарының бірі-әдістеме қосымшаларды әзірлеудің өмірлік циклінің әр кезеңінде тестілеуді сипаттайды: талаптарды анықтау, жобалау, әзірлеу, енгізу және қолдау. Бұл жағдайда қосымшалардың өздері ғана емес, сонымен қатар технологиялар, процестер, адамдар да тексеріледі. Екінші маңызды артықшылығы: OWASP пентестерлерді де, веб-әзірлеушілерді де қолдана алады. OWASP қауымдастығы сонымен қатар burp Suite-ке ұқсас OWASP ZAP автоматтандырылған тестілеу құралын шығарды. ISSAF Ақпараттық жүйелер қауіпсіздігі қауымдастығы (ISSAF) Open Information Systems қауіпсіздік тобы (OISSG) жасаған. Құжат ақпараттық қауіпсіздікке қатысты көптеген мәселелерді қамтиды. Issaf-те енуді тестілеу бойынша толық нұсқаулар берілген. Пентест жүргізуге болатын утилиталар, оларды пайдалану туралы нұсқаулар сипатталған, сонымен қатар тестілеу нәтижесінде қандай нәтижелер мен қандай параметрлер алуға болатындығы егжей-тегжейлі түсіндірілген. ISSAF кез-келген ұйымның ақпараттық қауіпсіздігін тексеруге бейімделетін өте күрделі және егжей-тегжейлі әдіс болып саналады. ISSAF сәйкес тестілеудің әр кезеңі Мұқият құжатталған. Сондай-ақ, әр кезеңде нақты құралдарды пайдалану бойынша ұсыныстар берілді. ISSAF әдістемесі бұзуды имитациялау кезінде қатаң қадамдар тәртібін ұсынады: ақпарат жинау; желі картасын жасау; осалдықты анықтау; ену; қол жеткізу және артықшылықтарды арттыру; қатынасты сақтау (maintaining access); қашықтағы пайдаланушылар мен сайттарды бұзу; ену іздерін жасыру. PTES Penetration Testing Methodologies and Standards (PTES) базалық пентестті өткізуге арналған ұсыныстарды, сондай-ақ ақпараттық қауіпсіздікке қойылатын жоғары талаптары бар ұйымдар үшін тестілеудің бірнеше кеңейтілген нұсқаларын ұсынады. PTES-тің артықшылықтарының бірі-бұл пентесттің мақсаттары мен үміттері туралы егжей-тегжейлі сипаттама береді. PTES негізгі кезеңдері: Зерттеу (Intelligence Gathering). Ұйым тестілеушіге АТ инфрақұрылымының мақсатты объектілері туралы жалпы ақпарат береді. Қосымша мәліметтерді тестілеуші жалпыға қолжетімді көздерден алады. Қауіптерді модельдеу. Бизнес-процестер мен АТ-ның аса маңызды элементтерін ескере отырып, шабуылдың басым бағыттары мен векторлары айқындалады. Осалдықтарды талдау. Сынақшы осалдықтармен байланысты тәуекелдерді анықтайды және бағалайды. Зиянкес пайдалана алатын барлық осалдықтарға талдау жүргізіледі. Осалдықты пайдалану. Табылған осалдықты ұйымды қорғауда заңсыз әрекеттерге еліктеу үшін пайдалану әрекеті. Тестер ақпараттық жүйенің элементтерін бақылауға тырысады. Есеп жасау. Анықталған осалдықтар, бизнес үшін маңыздылық туралы ақпаратпен және оларды жою бойынша ұсыныстармен енуге тестілеудің егжей-тегжейлі құжатталған қорытындысы. Сондай-ақ, PTES-те қайта немесе пайдаланудан кейінгі тестілеуді жүргізуге арналған нұсқаулық бар. Бұл анықталған осалдықтардың қаншалықты тиімді жабылғанын анықтауға көмектеседі. Қорытынды Тәжірибелі тестерлер, егер олар бір әдісті қолданса да, ұйымның ықтимал қауіптерінің барлық спектрін қамтуға тырысады. Бұл ретте техникалық, ұйымдастырушылық және құқықтық тәуекелдер ескеріледі: тестілеуші компанияға ықтимал қауіп төндіретін іс-әрекеттерді болдырмайды. Пентест хакердің әрекеттерінен ең алдымен ерекшеленеді, өйткені сынақшы клиенттің инфрақұрылымына әсер ету деңгейін толығымен бақылайды. Кез-келген компания үшін осалдықты мүмкіндігінше тез анықтау және жою маңызды. Егер шабуылдаушы оны қолдана алса, материалдық зиянның мөлшері де осыған байланысты. Бұл тұрғыда әскери жаттығулар сияқты пентестті бұзу: компания жоғары "жауынгерлік дайындықты"қолдайды. Мүмкін, сіз үшін тым егжей-тегжейлі, бірақ мен жалпы осалдықтар мен экспозициялар тізімін ұсынамын. Жалпыға ортақ ақпарат қауіпсіздігінің осалдығы үшін жалпы атаулардың (CVE идентификаторлары) сөздік қамтамасыз ету оның басты мақсаты болып табылады, оларды индустрияда танылған және қолданылатын факт болып табылады. Олар АҚШ-тың ұлттық осалдықтар дерекқорымен (NVD) серіктес. Олар RSS арналары немесе олардың басты тізімдерін немесе жаңартуларын жүктей аласыз. CSRF (ағылш. Сгоѕѕ Site Request Forgery — "сұрауды сайтаралық қолдан жасау", сондай-ақ XSRF ретінде белгілі) - HTTP хаттамасының кемшіліктерін пайдаланатын веб-сайттарға кірушілерге жасалатын шабуыл түрі. Егер жәбірленуші зиянкес жасаған сайтқа кірсе, оның атынан белгілі бір зиянды операцияны (мысалы, зиянкестің шотына ақша аударуды) жүзеге асыратын басқа серверге (мысалы, төлем жүйесінің серверіне) сұрау салу жасырын жіберіледі. Осы шабуылды жүзеге асыру үшін жәбірленуші сұрау жіберілетін серверде аутентификациялануы тиіс және бұл сұрау пайдаланушы тарапынан шабуыл жасайтын сценарийде еленбейтін немесе қолданылмайтын қандай да бір растауды талап етпеуі тиіс. Шабуылдардың бұл түрі, жалпы қате түсінікке қарамастан, бұрыннан пайда болды: алғашқы теориялық пайымдау 1988 жылы пайда болды[1], ал алғашқы осалдықтар 2000 жылы табылды. A бұл терминді Peter Watkins 2001 жылы енгізген. CSRF-тің негізгі қолданылуы-зардап шеккен адамның атынан осал сайтта кез- келген әрекетті орындауға мәжбүрлеу (парольді өзгерту, парольді қалпына келтіру үшін құпия сұрақ, пошта, әкімші қосу және т.б.). Сондай-ақ, CSRF көмегімен басқа серверде табылған шағылысқан XSS-ті пайдалануға болады. Шабуыл шабуыл жасалатын пайдаланушы көрінеу (немесе болжамды) өзі расталған сайтқа қол жеткізуге тырысатын сілтемені немесе сценарийді веб- бетте орналастыру арқылы жүзеге асырылады. Мысалы, Элис қолданушысы басқа пайдаланушы Боб хабарлама жіберген форумды көре алады. Боб арқылы өту кезінде Элис Банкінің веб-сайтында әрекет жасалады, мысалы: Боб: Сәлем Элис! Қандай сүйкімді Мысықты қараңыз: src="http://bank.example.com/withdrawal?account=Balance&amount=1000000&f or=Bob"> Егер Элис Банкі Алисаның аутентификациясы туралы ақпаратты куки-де сақтаса және куки әлі аяқталмаған болса, суретті жүктеуге тырысқанда, Алисаның шолушысы кукиді Бобтың шотына ақша аудару туралы сұрау салады, бұл Алисаның аутентификациясын растайды. Осылайша, транзакция сәтті аяқталады, дегенмен оны растау Алисаның білімінсіз жүзеге асырылач Сервердегі деректерді өзгертетін барлық сұраулар, сондай-ақ жеке немесе басқа нәзік деректерді қайтаратын сұраулар қорғалуы керек. Шабуылдардың осы түрінен қорғаудың ең оңай жолы-бұл веб-сайттар пайдаланушының көптеген әрекеттерін Растауды және егер сұрауда көрсетілген болса, HTTP_REFERER өрісін тексеруді қажет ететін механизм. Бірақ бұл әдіс қауіпті болуы мүмкін және оны пайдалану ұсынылмайды[2]. Қорғаудың тағы бір кең таралған тәсілі-бұл Пайдаланушының әр сессиясында сұраныстарды орындауға арналған қосымша құпия бірегей кілт байланыстырылатын механизм. Құпия кілт ашық түрде берілмеуі керек, мысалы, POST сұраулары үшін кілт беттің мекен-жайында емес, сұрау денесінде берілуі керек. Пайдаланушы шолушысы бұл кілтті әр сұраудың параметрлері санына жібереді және кез-келген әрекетті жасамас бұрын сервер осы кілтті тексереді. Бұл механизмнің Referer тексерумен салыстырғанда артықшылығы CSRF шабуылдарынан кепілдендірілген қорғаныс болып табылады. Кемшіліктері пайдаланушы сессияларын ұйымдастыру мүмкіндігінің талаптары және сайт беттерінің HTML-кодын динамикалық түрде құру талаптары болып табылады. HTTP / 1.1 протоколының сипаттамасы [3] сервердегі деректерді өзгертпеуі керек GET, HEAD сияқты қауіпсіз сұрау әдістерін анықтайды. Мұндай сұраулар үшін, егер спецификация сервері сәйкес келсе, CSRF қорғанысын қолдану қажет емес. Қауіпсіз болуға және әр сұрауға кілт қосуға деген ықылас болуы мүмкін, бірақ HTTP/1.1[3] спецификациясы кез-келген сұрау үшін дененің болуына мүмкіндік беретінін есте ұстаған жөн, бірақ кейбір сұрау әдістері үшін (GET, HEAD, DELETE) сұрау денесінің семантикасы анықталмаған және оны елемеу керек. Сондықтан кілтті тек URL мекен-жайы немесе HTTP сұрау тақырыбында беруге болады. Пайдаланушыны URL-мекен-жайындағы кілттің ақылды таралуынан қорғау керек, мысалы, кілт шабуылдаушыға қол жетімді болуы мүмкін форумда. Сондықтан, URL мекен-жайындағы кілті бар сұрауларды ауысу үшін мекен-жай ретінде пайдаланбау керек, яғни URL мекен-жайына кіретін кілтті жасыру үшін клиенттік сценариймен, серверді қайта бағыттаумен, пішін әрекетімен, беттегі еренсілтемемен және т.б. өтуді болдырмау керек. Оларды тек XMLHttpRequest немесе AJAX сияқты орауышпен сценарий арқылы ішкі сұраулар ретінде пайдалануға болады. Кілт (CSRF таңбалауышы) нақты сұрау немесе пішін үшін емес, пайдаланушының барлық сұраулары үшін жасалуы мүмкін екендігі маңызды. Сондықтан қарапайым әрекетті орындайтын немесе әрекетті мүлдем жасамайтын URL мекен-жайының CSRF таңбалауышының ағып кетуі жеткілікті, өйткені белгілі URL мекен-жайы байланысты емес, кез-келген әрекет жалған сұраудан қорғайды. Алдыңғы механизмнің қатаң нұсқасы бар, онда бірегей бір реттік кілт әр әрекетпен байланысты. Мұндай тәсіл неғұрлым күрделі іске асыру және талапшыл ресурстарына. Бұл әдісті Livejournal, Rambler және т.б. сияқты кейбір сайттар мен порталдар қолданады, 2016 жылы әр сессия үшін жалғыз құпия кілтті қолданатын опциямен салыстырғанда қатаң нұсқаның артықшылығы туралы ақпарат болған жоқ Code injection Кодты енгізу-бұл дұрыс емес деректерді өңдеуден туындаған компьютерлік қатені қолдану. Зиянкес инъекцияны осал компьютерлік бағдарламаға кодты енгізу (немесе "инъекция") және орындалу барысын өзгерту үшін пайдаланады. Сәтті кодты енгізу нәтижесі апатты болуы мүмкін, мысалы, компьютерлік құрттардың көбеюіне мүмкіндік береді. Кодты енгізудің осалдығы бағдарлама аудармашыға сенімсіз деректерді жіберген кезде пайда болады. Енгізу қателері SQL, LDAP, XPath немесе NoSQL сұрауларында жиі кездеседі; ОЖ командалары; XML талдағыштары, SMTP тақырыптары, бағдарлама дәлелдері және т.б. инъекция ақауларын тестілеуге қарағанда бастапқы кодты үйрену кезінде анықтау оңайырақ.[1] сканерлер мен фаззерлер инъекция ақауларын табуға көмектеседі.[2] Инъекция деректердің жоғалуына немесе бүлінуіне, есеп берудің болмауына немесе қол жетімділіктің болмауына әкелуі мүмкін. Инъекция кейде хосттың толық сіңуіне әкелуі мүмкін. Кодты енгізудің кейбір түрлері түсіндіруде қателіктер болып табылады, бұл пайдаланушы енгізген мәліметтерге ерекше мән береді. Осыған ұқсас түсіндіру қателіктері информатика әлемінен тыс жерде де бар, мысалы, комедиялық күнделікті кім бірінші?. Күнделікті өмірде дұрыс атауларды қарапайым сөздерден ажырата алмау бар. Сол сияқты, кодты енгізудің кейбір түрлерінде пайдаланушы енгізген деректерді жүйелік командалардан ажырату мүмкін емес. Кодты енгізу әдістері ақпаратты алу, артықшылықтарды арттыру немесе жүйеге рұқсатсыз кіру мақсатында жүйені бұзу немесе бұзу кезінде танымал. Инъекциялық кодты көптеген мақсаттарда қолдануға болады, соның ішінде: SQL инъекциясы арқылы дерекқордағы мәндердің ерікті өзгеруі. Мұның салдары веб-сайтты бүлдіруден бастап құпия деректерді елеулі түрде бұзуға дейін болуы мүмкін. Сервер сценарийінің кодын енгізу арқылы зиянды бағдарламаны орнату немесе зиянды кодты серверде орындау (мысалы, PHP немесе ASP). Microsoft Windows жүйесінде қызметті пайдалану арқылы Unix немесе жергілікті жүйеде setuid түбірлік екілік файлына қабықты енгізу осалдықтарын пайдалану арқылы түбірлік рұқсаттарға артықшылықтарды арттыру. HTML-инъекция/сценарий (сайтаралық сценарий) бар желі пайдаланушыларына шабуыл жасау. 2008 жылы осы жылы тіркелген барлық осалдықтардың 5,66% - ы код инъекциясы ретінде жіктелді, бұл ең жоғары көрсеткіш. 2015 жылы бұл көрсеткіш 0,77% - ға дейін төмендеді Сайттар мен веб-қосымшаларға арналған Authentication Bypass (аутентификацияны айналып өту) - бұл дерекқормен және сервердің файлдық жүйесімен тікелей өзара әрекеттесуді қамтамасыз ететін әкімшілік бөлімге немесе сайт бөлімдеріне және сценарийлерге рұқсатсыз кіру. Authentication Bypass сайт кодының осалдықтарын, ресурстарды жариялау қателерін, сондай-ақ сервердің бағдарламалық жасақтамасының параметрлері мен осалдықтарындағы қателерді пайдалану арқылы жүзеге асырылуы мүмкін. Сайтта аутентификацияны (Authentication Bypass) айналып өту мүмкіндігі әрқашан оның бұзылуына әкеледі, өйткені: Шабуыл жасаушы сайттың әкімшілік бөліміне кіреді Шабуыл жасаушы сайттың жабық бөлімдеріне немесе деректер базасымен немесе сервердің файлдық жүйесімен тікелей әрекеттесетін файлдарға қол жеткізе алады НАЗАРЛАРЫҢЫЗҒА РАХМЕТ!!! жүктеу/скачать 179,96 Kb. Достарыңызбен бөлісу:
|