Веб-қосымшаларды құру құралдары (Интернет, frame relay)
Бастапқы кодтарға жүгінбей веб-қосымшаның жұмысын талдау әдістері
жүктеу/скачать 1,31 Mb.
|
| 2 Бастапқы кодтарға жүгінбей веб-қосымшаның жұмысын талдау әдістері
2.1 Веб - бағдарлама туралы идентификациялық ақпаратты алу және қауіпсіздік бюллетеньдерінің көмегімен осалдығын анықтау Бұл әдіс веб-қосымшаның қарапайым пайдаланушысы атынан HTTP - сұраныстарды теруді жіберуге негізделген, мұндай сұраныстарға жауаптар веб-бағдарламаның қай веб-серверде жұмыс жасайтынын, деректер базасының қай сервері пайдаланылатынын, БҚ-ның қандай нұсқалары пайдаланылатынын, қандай технологияның көмегімен жасалғанын және т. б. қорытынды жасауға мүмкіндік береді. Идентификациялық мәліметтер HTTP - жауаптардың тақырыптары мен HTTP-беттер мәтіндерінде болуы мүмкін. Нақты веб-бағдарламаның қолданатын веб-сервистер мен технологиялар сәйкестендірілгеннен кейін "қауіпсіздік бюллетендері" арқылы осалдықты анықтауға болады. Бұл деректерді жинау fingerprinting деп аталады. Бұл жағдайда көрінетін осалдық "бағдарламаны идентификациялау" деп аталады. Веб-бағдарламаны пайдаланушы идентификациялық деректерді алу мүмкіндігі келесі себептер бойынша әлеуетті осалдық болып саналады: Интернет желісінде үлкен деректер базасы бар, онда бағдарламалық өнімнің нұсқасына жазылған бағдарламалық өнімдердің осалдығы бойынша ақпараттың үлкен көлемі сақталады, сондай-ақ шабуылдарды іске асыру әдістерін тауып алу қиынға соқпайды. Security Focus және Bugtraq қауіпсіздік бюллетендері күн сайын ең жаңа табылған осалдықтар туралы есептерді жариялайды. Бұл мәліметтер ақпараттық қауіпсіздік саласындағы сарапшылар мен веб -ресурстар әкімшілеріне арналған, сондай-ақ осы ақпаратқа қолжетімділікті интернет желісі арқылы кез келген адам ала алады. Көбінесе веб-жүйелердің әкімшілері қауіпсіздікті жаңартуды уақытында белгілемейді, бұл өз кезегінде әкімші бағдарламалық қамтамасыз етуді тиісті жаңарту қондырғысымен жаппаған белгілі осалдықты пайдалану арқылы ақпараттық жүйені бұзу мүмкіндігіне әкеледі. Алдыңғы жылдары операциялық жүйелердің өте жақсы белгілі және жабылмаған осалдықтарына Интернет-құрттардың кеңінен танымал індетін тудырған көптеген шабуылдар ұйымдастырылды. Бағдарламалаушылар жиі веб-қосымшалардың жеке дайын модульдерін қолдана отырып, құрамдас негізде сайтты қалыптастыратынын ескеру маңызды. Сыртқы компоненттер - чат, форум, оқиғалар күнтізбесі, хабарландыру тақтасы және т. б. сияқты Интернет-сервистердің модульдері болып табылады. Ішкі компоненттер веб-бағдарламаны әзірлеу технологиясының құрамына енгізілген. Компоненттердің бірінде осалдықтар анықталған жағдайда, осы компонентті пайдаланатын барлық веб -ресурстар қауіп төндіреді. Веб-бағдарлама туралы идентификациялық ақпаратты алу әдісінің артықшылықтары. Қарапайымдылығы мен қол жетімділігіне байланысты кең практикалық пайдалану. Әдістің пайдалылығы, ол веб-бағдарлама туралы ақпараттың ағып кету мүмкіндігін көрсетуінде болып табылады. Веб-бағдарлама туралы идентификациялық ақпаратты алу әдісінің кемшіліктері. Бұл әдіс жаңа осалдықтарды табуға мүмкіндік бермейді. Идентификациялық ақпаратты іздеу орындалатын шаблонды баптау үшін маман қажет. Негізгі массадағы үлгілер веб-қосымшаны әзірлеудің әрбір технологиясына тән. жүктеу/скачать 1,31 Mb. Достарыңызбен бөлісу:
|