Қазақстан Республикасы Білім және ғылым министрлігі
Қ.Жұбанов атындағы Ақтөбе өңірлік университеті
Физика-математика факультеті
Информатика және АТ кафедрасы
БАЯНДАМА
Дайындаған: Жолдасбаев Б.К
Тобы: КИКО 301
Тексерген: Талипова М.Ж
Ақтөбе 2022
Жоспар
Кіріспе.
Инъекциялар
Жалпы осалдықтар
XSS
LFI/RFI
JSON және XML арқылы шабуылдар
Кіріспе
Веб-қосымшалардың осалдығы әзірлеушілер веб-қосымшаға қауіпті код қосқан кезде пайда болады. Бұл даму кезеңінде де, бұрын табылған осалдықтарды түзету немесе түзету кезеңінде де болуы мүмкін. Кемшіліктер көбінесе сыни дәрежеге және олардың таралуына қарай жіктеледі. Осалдықтардың объективті және ең танымал классификациясы OWASP Top 10 болып саналады. Рейтингті OWASP Project мамандары жасайды және әр 3-4 жыл сайын жаңартылып отырады. Ағымдағы шығарылым 2017 жылы шығарылды, ал келесі шығарылым 2020-2021 жылдары болады деп күтілуде.
Инъекциялар
Болжам бойынша, "инъекция" класындағы шабуылдар OWASP Top 10 рейтингінде жетекші орынға ие, іс жүзінде барлық жерде кездеседі және іске асыруда өте әртүрлі. Мұндай сыныптың осалдықтары SQL инъекцияларынан, оның әртүрлі вариацияларынан басталып, RCE-кодты қашықтан орындаумен аяқталады.
Sql: http://example.com/?id=1' union select 1,2,version(),4
RU: http://example.com/search.php?q=;+cat+/etc/passwd
XSS
Сайтаралық сценарий-бұл осалдық, егер сіз OWASP Top 10 рейтингіне сенсеңіз, бұрынғыдан әлдеқайда аз, бірақ соған қарамастан веб-қосымшалар мен пайдаланушылар үшін онша қауіпті болмады. Әсіресе пайдаланушылар үшін, өйткені XSS шабуылы оларға бағытталған. Жалпы, шабуылдаушы веб-қосымшаға сценарийді енгізеді, ол зиянды бетке кірген әрбір пайдаланушы үшін іске қосылады.
http://example.com/?search=
Достарыңызбен бөлісу: |