|
Dasturiy ta’minot xavfsizligini ta’minlashda zaifliklar turlari tasniflab berish
|
| bet | 2/4 | | Sana | 05.06.2024 | | Hajmi | 3,07 Mb. | | #260450 |
Bog'liq 3-topshiriq KH Ma’lum boʽlgan zaifliklarning aksariyati tizim foydalanuvchilari tomonidan kiritiladigan ma’lumotlar bilan notoʽgʽri ishlash oqibatida kelib chiqadi. Agar bu ma’lumotlar dastur ichida ishlatilishidan oldin tekshirilmagan yoki toʽgʽri ishlov berilmagan boʽlsa, ular tizimda kutilmagan xavf-xatarlarni keltirib chiqarishi mumkin. Bunday xavf-xatarlarga bufer toʽlishi, XSS, SQL in’ektsiyasi, Stringni formatlashdagi xatolar va butun sonlarning chegaradan oshib ketishi va shunga oʽxshagan boshqa zaifliklar sabab boʽladi. Ma’lum boʽlgan zaifliklarning aksariyati tizim foydalanuvchilari tomonidan kiritiladigan ma’lumotlar bilan notoʽgʽri ishlash oqibatida kelib chiqadi. Agar bu ma’lumotlar dastur ichida ishlatilishidan oldin tekshirilmagan yoki toʽgʽri ishlov berilmagan boʽlsa, ular tizimda kutilmagan xavf-xatarlarni keltirib chiqarishi mumkin. Bunday xavf-xatarlarga bufer toʽlishi, XSS, SQL in’ektsiyasi, Stringni formatlashdagi xatolar va butun sonlarning chegaradan oshib ketishi va shunga oʽxshagan boshqa zaifliklar sabab boʽladi.
Bufer toʽlishi. Dasturlashdagi xatolarning katta qismini ma’lumotlarni qayta
ishlashdagi qilinadigan xatolar tashkil etadi. Bu xatolik xotira buferi imkoniyatlari
ruxsat etilganidan koʽproq ma’lumot kiritishga harakat qilinganida sodir boʽladi. Bu
dasturni ishlash jarayonida ma’lumotlar xotira blokidan tashqarida yozilishiga sabab
boʽladi. Natijada oʽqish va yozish operatsiyalari bufer chegaralaridan tashqarida
oʽtkazilishi mumkin. Bufer toʽlishi tufayli, ruxsat etilmagan foydalanuvchi bu
zaiflikdan juda oson foydalanishi mumkin. Ular buning oqibatida zararli kodlarni
dasturga kiritishi, maxfiy ma’lumotlarni oʽqishi yoki dasturning boshqaruvini oʽzgartirishlari mumkin boʽladi. Bu xatolik turi C va C++ dasturlash tillarida eng koʽp
tarqalgan.
XSS (Cross Site Scripting). Odatda bu termin veb ilovalar bilan bogʽliq boʽlib,
bunda zararli skriptlar xavfsizligi yaxshi ta’minlanmagan web saytlarga kiritiladi. XSS
hujumlari tajovuzkor veb sahifaga zararli kodlarni oddiy foydalanuchi sifatida oʽzining
brauzeri orqali jo’natadi. Bunda tajavuzkor zararli kodlarni veb saytning foydalanuvchi
ma’lumot kirita oladigan joylari orqali joʽnatadi. Foydalanuchi kiritgan maʽlumotlarni
tekshirmasdan yoki kodlamasdan foydalanadigan har qanday web sayt ushbu hujum
qurboniga aylanishi mumkin. Agarda hujum muvoffaqiyatli amalga oshiriladigan
boʽlsa, zararli skript boshqa foydalanuvchilar ushbu hujumga uchragan saytdan
foydalangan vaqtida brauzerida saqlanadigan va ushbu sayt bilan ishlatiladigan har
qanday cookie fayllariga, sessiya tokenlariga yoki boshqa maxfiy ma’lumotlarga kira
oladi. Bu skriptlar hatto HTML sahifaning mazmunini butunlay oʽzgartirishi yoki
qayta yozishi mumkin.
|
| |
