Физика-математика факультеті



бет1/5
Дата14.12.2022
өлшемі27,2 Kb.
#57145
  1   2   3   4   5
Байланысты:
Мкиж 155


Қ.Жұбанов атындағы Ақтөбе өңірлік университеті
Физика-математика факультеті

Баяндама
Web қосымшалардың қауіпсіздігін қадағалау


Орындаған: 3КИКО тобының студенті Байсеркеш Аруза
Тексерген: Талипова М.Ж

Ақтөбе, 2022-2023 оқу жылы

Веб қолданбасының осалдықтары әзірлеушілер веб-бағдарламаға қауіпті код қосқанда пайда болады. Бұл әзірлеу сатысында да, бұрын табылған осалдықтарды нақтылау немесе түзету сатысында да орын алуы мүмкін. Кемшіліктер көбінесе сындық дәрежесіне және таралу дәрежесіне қарай жіктеледі. Осалдықтардың объективті және ең танымал классификациясы - OWASP Top 10. Рейтингті OWASP жобасының мамандары құрастырады және әр 3-4 жыл сайын жаңартылады. Ағымдағы шығарылым 2017 жылы шығарылды, ал келесі нұсқасы 2020-2021 жылдары күтілуде.
Алдымен, көптеген веб-қосымшаларға әсер ететін жалпы осалдықтарды қарастырайық.
Инъекциялар
Күтілгендей, Injection класының шабуылдары OWASP Top 10 рейтингінде жетекші орынды алады, барлық жерде дерлік кездеседі және іске асыруда өте әртүрлі. Бұл сыныптың осалдықтары SQL инъекцияларынан, оның әртүрлі нұсқаларында басталады және RCE - қашықтан кодты орындаумен аяқталады.

SQLi: http://example.com/?id=1' union select 1,2,version(),4


RCE: http://example.com/search.php?q=;+cat+/etc/passwd

XSS
Сайтаралық сценарийлер OWASP Top 10 рейтингі бойынша бұрынғыдан әлдеқайда аз таралған осалдық болып табылады, бірақ соған қарамастан ол веб-қосымшалар мен пайдаланушылар үшін қауіпті бола қойған жоқ. Әсіресе пайдаланушылар үшін, өйткені XSS шабуылы арнайы оларға бағытталған. Жалпы, шабуылдаушы зиянды бетке кірген әрбір пайдаланушы үшін іске қосылатын веб-бағдарламаға сценарий енгізеді.

http://example.com/?search=



LFI/RFI
Бұл сыныптың осалдықтары браузер арқылы шабуылдаушыларға веб-бағдарламадан жауап ретінде сервердегі жергілікті және қашықтағы файлдарды қосуға мүмкіндік береді. Бұл олқылық шабуылдаушы басқара алатын, типті таңбаларды енгізе алатын path traversalжәне веб-сервердегі басқа файлдарды қоса алатын дұрыс енгізу өңдеуі болмаған жерде болады.

http://example.com/?search=/../../../../../../etc/passwd





Достарыңызбен бөлісу:
  1   2   3   4   5




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет