O’zbekiston respublikasi axborot texnalogiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universitet

Download 0,68 Mb.
bet	2/8
Sana	30.11.2023
Hajmi	0,68 Mb.
	#108800

1 2 3 4 5 6 7 8

Bog'liq
Mustaqil ta, 1668942904 (3), ИИКТ-Мустакил ишларни тайёрлаш учун қўлланма, ilhonjon===, Oksidlanish-qaytarilish reaksiyalari., water pollution, 1678980581, 1680672622, Jumanboyev Abdurahmon elektronika, 1681713047, ozbekistonning yangi tarixi, Sarvar Abduqodirov CV, 6-amaliy ish, Antenna va radioeshittirish MUSTAQIL ISH Avazbek [Avto saqlangan]

Ilova himoya dasturlari

Browser Security Plus - bu maxfiy korporativ ma'lumotlarni kiberhujumlar bilan bog'liq xavfsizlik buzilishlaridan himoya qilishga yordam beradigan veb-brauzer xavfsizligi vositasi. Ushbu brauzer xavfsizlik dasturi AT ma'murlariga tarmoqlar bo'ylab bir nechta brauzerlarni boshqarish va himoyalashda yordam beradi. Bu ularga brauzerdan foydalanish tendentsiyalarini ko'rish, brauzer sozlamalarini kuchaytirish, brauzer kengaytmalari va plaginlarini boshqarish, korporativ brauzerlarni blokirovka qilish va brauzerning belgilangan xavfsizlik standartlariga muvofiqligini ta'minlash imkonini beradi. Bularning barchasi ma'murlarga o'z tarmoqlarini fishing hujumlari, sug'orish teshiklari hujumlari, to'lov dasturlari, viruslar va troyanlar kabi kiberhujumlardan himoya qilishga yordam beradi.

Veb-ilovalar xavfsizligi bu veb-saytlar, ilovalar va API-larni hujumlardan himoya qilish amaliyotidir. Bu keng intizomdir, lekin uning yakuniy maqsadi veb-ilovalarning muammosiz ishlashini ta'minlash va biznesni kiber vandalizm, ma'lumotlarni o'g'irlash, axloqsiz raqobat va boshqa salbiy oqibatlardan himoya qilishdir.

Internetning global tabiati veb-ilovalar va API-larni ko'plab joylardan va turli darajadagi miqyos va murakkablikdagi hujumlarga duchor qiladi. Shunday qilib, veb-ilovalar xavfsizligi turli strategiyalarni o'z ichiga oladi va dasturiy ta'minotni etkazib berish zanjirining ko'p qismlarini qamrab oladi.

Umumiy veb-ilovalar xavfsizligi xavflari qanday?
Veb-ilovalar tajovuzkorning maqsadlari, maqsadli tashkilot ishining tabiati va ilovaning xavfsizlik bo'shliqlariga qarab bir qancha hujum turlariga duch kelishi mumkin. Umumiy hujum turlariga quyidagilar kiradi:

Nolinchi kunlik zaifliklar: Bular dastur ishlab chiqaruvchilariga noma'lum bo'lgan zaifliklar va shuning uchun ularni tuzatish mavjud emas. Hozir biz har yili 20 000 dan ortiqni ko'ramiz. Hujumlar ushbu zaifliklardan tezda foydalanishga intiladi va ko'pincha xavfsizlik sotuvchilari tomonidan o'rnatilgan himoyalardan qochishga intiladi.

Saytlararo skript (XSS): XSS bu zaiflik boʻlib, tajovuzkorga muhim maʼlumotlarga bevosita kirish, oʻzini oʻzi foydalanuvchiga oʻxshatish yoki muhim maʼlumotlarni ochishda aldash maqsadida veb-sahifaga mijoz tomonidagi skriptlarni kiritish imkonini beradi.
SQL injection (SQi):SQi - bu tajovuzkor ma'lumotlar bazasi qidiruv so'rovlarini bajarishda zaifliklardan foydalanadigan usul. Buzg'unchilar SQi-dan ruxsatsiz ma'lumotlarga kirish, yangi foydalanuvchi ruxsatlarini o'zgartirish yoki yaratish yoki boshqa tarzda nozik ma'lumotlarni manipulyatsiya qilish yoki yo'q qilish uchun foydalanadilar.
Xizmatni rad etish (DoS) va tarqatilgan xizmat ko'rsatishni rad etish (DDoS) hujumlari: Turli vektorlar orqali tajovuzkorlar maqsadli serverni yoki uning atrofidagi infratuzilmani har xil turdagi hujumlar trafigini haddan tashqari yuklashlari mumkin. Agar server kiruvchi so'rovlarni samarali qayta ishlashga qodir bo'lmasa, u o'zini sust tuta boshlaydi va oxir-oqibat qonuniy foydalanuvchilarning kiruvchi so'rovlariga xizmat ko'rsatishni rad etadi.
Xotiraning buzilishi: Xotiraning buzilishi xotiradagi joy tasodifan o'zgartirilganda yuzaga keladi va natijada dasturiy ta'minotda kutilmagan xatti-harakatlar yuzaga kelishi mumkin. Yomon aktyorlar kodni kiritish yoki buferni to'ldirish hujumlari kabi ekspluatatsiyalar orqali xotira buzilishini aniqlashga va undan foydalanishga harakat qiladilar.
Buferning to'lib ketishi: Buferning to'lib ketishi - bu bufer deb nomlanuvchi xotiraning belgilangan maydoniga dasturiy ta'minot ma'lumotlarini yozishda yuzaga keladigan anomaliya. Bufer sig'imining to'lib ketishi qo'shni xotira joylari ma'lumotlar bilan qayta yozilishiga olib keladi. Ushbu xatti-harakatdan zararli kodni xotiraga kiritish uchun foydalanish mumkin, bu maqsadli mashinada zaiflikni keltirib chiqarishi mumkin.
Saytlararo so'rovni qalbakilashtirish (CSRF): Saytlararo so'rovni qalbakilashtirish jabrlanuvchini ularning autentifikatsiyasi yoki avtorizatsiyasidan foydalangan holda so'rov qilish uchun aldashni o'z ichiga oladi. Foydalanuvchining hisob imtiyozlaridan foydalangan holda, tajovuzkor foydalanuvchi sifatida niqoblangan so'rov yuborishi mumkin.
Foydalanuvchining hisobi buzilganidan so'ng, tajovuzkor muhim ma'lumotlarni o'chirib tashlashi, yo'q qilishi yoki o'zgartirishi mumkin. Ma'murlar yoki rahbarlar kabi yuqori imtiyozli hisoblar odatda nishonga olinadi.
Hisob ma'lumotlarini to'ldirish: Buzg'unchilar veb-ilovaning kirish portaliga ko'p sonli o'g'irlangan foydalanuvchi nomi va parol birikmalarini tezda kiritish uchun botlardan foydalanishi mumkin. Agar bu amaliyot tajovuzkorga haqiqiy foydalanuvchi hisobiga kirish imkonini bersa, ular foydalanuvchi ma'lumotlarini o'g'irlashi yoki foydalanuvchi nomidan soxta xaridlarni amalga oshirishi mumkin.
Sahifani qirib tashlash: Hujumchilar veb-sahifalardagi tarkibni keng miqyosda o'g'irlash uchun botlardan ham foydalanishlari mumkin. Ular ushbu kontentdan raqobatchiga nisbatan narx ustunligiga ega bo'lish, sahifa egasini zararli maqsadlarda yoki boshqa sabablarga ko'ra taqlid qilish uchun foydalanishi mumkin.
APIni suiiste'mol qilish: API'lar yoki Ilova dasturlash interfeyslari ikkita ilovaga bir-biri bilan bog'lanish imkonini beruvchi dasturiy ta'minotdir. Har qanday turdagi dasturiy ta'minot singari, ular tajovuzkorlarga ilovalardan biriga zararli kodni yuborish yoki maxfiy ma'lumotlarni bir dasturdan ikkinchisiga o'tishda ushlab qolish imkonini beruvchi zaifliklarga ega bo'lishi mumkin. Bu APIdan foydalanish ortib borayotganligi sababli tobora keng tarqalgan hujum turi. OWASP API Top o'nta ro'yxati bugungi kunda tashkilotlar duch keladigan asosiy API xavfsizligi xavflarini qisqacha jamlagan.
Shadow API'lar: Ishlab chiqish guruhlari biznes maqsadlariga erishish uchun tez ishlaydi, xavfsizlik guruhlarini xabardor qilmasdan tez-tez API'larni yaratadi va nashr etadi. Ushbu noma'lum API'lar "soyada" ishlaydigan nozik kompaniya ma'lumotlarini oshkor qilishi mumkin, chunki API'larni himoya qilish vazifasi yuklangan xavfsizlik guruhlari ularning mavjudligidan bexabar.
Uchinchi tomon kodini suiiste'mol qilish: Ko'pgina zamonaviy veb-ilovalar turli xil uchinchi tomon vositalaridan foydalanadi - masalan, uchinchi tomon to'lovlarini qayta ishlash vositasidan foydalangan holda [elektron tijorat sayti](https://www.cloudflare.com/ecommerce/). Agar tajovuzkorlar ushbu vositalardan birida zaiflikni topsalar, ular vositani buzishi va u qayta ishlaydigan ma'lumotlarni o'g'irlashi, ishlashiga to'sqinlik qilishi yoki dasturning boshqa joylariga zararli kodni kiritish uchun foydalanishi mumkin. To'lov protsessorlarining kredit karta ma'lumotlarini o'tkazib yuboradigan Magecart hujumlari ushbu hujum turiga misoldir. Ushbu hujumlar, shuningdek, brauzer ta'minot zanjiri hujumlari hisoblanadi.
Hujum yuzasining noto'g'ri konfiguratsiyasi: Tashkilotning hujum maydoni uning kiberhujumlarga moyil bo'lishi mumkin bo'lgan butun IT izidir: serverlar, qurilmalar, SaaS va Internetdan kirish mumkin bo'lgan bulutli aktivlar. Ushbu hujum yuzasi ba'zi elementlar e'tibordan chetda qolishi yoki noto'g'ri sozlanganligi sababli hujumga qarshi himoyasiz bo'lib qolishi mumkin.
Muhim veb-ilovalar xavfsizligi strategiyalari qanday?
Yuqorida aytib o'tilganidek, veb-ilovalar xavfsizligi keng tarqalgan, doimo o'zgaruvchan intizomdir. Shunday qilib, yangi hujumlar va zaifliklar paydo bo'lishi bilan intizomning eng yaxshi amaliyotlari o'zgaradi. Biroq, zamonaviy Internet tahdidlari landshafti shunchalik faolki, hech bir tashkilot o'z biznesining o'ziga xos ehtiyojlariga mos keladigan ba'zi "stol ulushlari" xavfsizlik xizmatlarisiz foydalana olmaydi:

DDoS yumshatish: DDoS yumshatish xizmatlari server va umumiy Internet o'rtasida joylashgan bo'lib, zararli trafikning ko'payishini oldini olish uchun maxsus filtrlash va juda yuqori o'tkazish qobiliyatidan foydalanadi. Ushbu xizmatlar juda muhim, chunki ko'plab zamonaviy DDoS hujumlari hatto eng chidamli serverlarni ham bosib olish uchun etarlicha zararli trafikni etkazib beradi.
Veb-ilovalar himoya devori (WAF): Veb-ilovaning zaifliklaridan foydalanadigan ma'lum yoki shubhali trafikni filtrlaydigan. WAF muhim ahamiyatga ega, chunki yangi zaifliklar deyarli barcha tashkilotlar o'z-o'zidan qo'lga olishlari uchun juda tez va jimgina paydo bo'ladi.
API shlyuzlari: e'tibordan chetda qolgan "soya API"larini aniqlashga yordam beradi va API zaifliklarini nishonga olish uchun ma'lum yoki shubhali trafikni bloklaydi. Ular, shuningdek, API trafigini boshqarish va kuzatishda yordam beradi. (API xavfsizligi haqida ko'proq bilib oling.)
DNSSEC: Veb-ilovaning DNS trafigini kafolatlovchi protokol to'g'ri serverlarga xavfsiz yo'naltiriladi, shuning uchun foydalanuvchilar yo'ldagi tajovuzkor tomonidan to'xtatilmaydi.
Shifrlash sertifikatini boshqarish: Bunda uchinchi tomon SSL/TLS shifrlash jarayonining asosiy elementlarini boshqaradi, masalan, shaxsiy kalitlarni yaratish, sertifikatlarni yangilash va zaifliklar tufayli sertifikatlarni bekor qilish. Bu ushbu elementlarning e'tibordan chetda qolishi va shaxsiy trafikni fosh qilish xavfini yo'q qiladi.
Bot boshqaruvi: Avtomatlashtirilgan trafikni inson foydalanuvchilaridan ajratish va birinchisining veb-ilovaga kirishini oldini olish uchun mashinani o'rganish va boshqa maxsus aniqlash usullaridan foydalanadi.
Mijoz tomoni xavfsizligi: Bu yangi uchinchi tomon JavaScript-ga bog'liqliklari va uchinchi tomon kodlari o'zgarishlarini tekshiradi va tashkilotlarga zararli harakatlarni tezroq ushlashga yordam beradi.
Hujum sirtini boshqarish: harakatga yaroqli hujum sirtini boshqarish vositalari sizning hujum sirtingizni xaritalash, potentsial xavfsizlik xavflarini aniqlash va bir necha marta bosish bilan xavflarni kamaytirish uchun yagona joyni ta'minlashi kerak.
Tashkilotlar o'z sotuvchilaridan qanday ilovalar xavfsizligini ta'minlash bo'yicha eng yaxshi amaliyotlarni kutishlari kerak?
Veb-ishlab chiquvchilar tajovuzkorlarning shaxsiy ma'lumotlarga kirishiga, foydalanuvchi hisoblariga firibgarlik yo'li bilan kirishiga va boshqa zararli harakatlarni amalga oshirishiga yo'l qo'ymaslik uchun ilovalarni loyihalashi va yaratishi mumkin. OWASP Top 10 ro'yxati ishlab chiquvchilar bilishi kerak bo'lgan eng keng tarqalgan dastur xavfsizligi xavflarini qamrab oladi. Ushbu xavflarning oldini olish bo'yicha amaliyotlar quyidagilarni o'z ichiga oladi:

Kirish tekshiruvini talab qilish: Noto'g'ri formatlangan ma'lumotlarni ilovaning ish jarayonlari orqali o'tishini bloklash zararli kodning in'ektsiya hujumi orqali ilovaga kirishini oldini olishga yordam beradi.

Zamonaviy shifrlashdan foydalanish: foydalanuvchi ma'lumotlarini shifrlangan holda saqlash, kiruvchi va chiquvchi trafikni uzatishni shifrlash uchun HTTPS dan foydalanish hujumchilarning ma'lumotlarni o'g'irlashining oldini olishga yordam beradi.
Kuchli autentifikatsiya va avtorizatsiyani taklif qilish: Kuchli parollar uchun boshqaruvni yaratish va joriy etish, ko‘p faktorli autentifikatsiya opsiyalarini, shu jumladan qattiq kalitlarni taklif qilish, kirishni boshqarish imkoniyatlarini taklif qilish va boshqa amaliyotlar tajovuzkorlarning foydalanuvchi hisoblariga firibgarlik yo‘li bilan kirishini va ilovangiz ichida yon tomonga harakatlanishini qiyinlashtiradi.
API-larni kuzatib borish: Hujum yuzasini tashkil qilishi mumkin bo'lgan e'tibordan chetda qolgan "soya API-larini" aniqlash uchun vositalar mavjud, ammo API-lar birinchi navbatda hech qachon e'tibordan chetda qolmasa, API xavfsizligi osonroq bo'ladi.
Kod o'zgarishlarini hujjatlashtirish: Bu xavfsizlik va ishlab chiquvchilar guruhlariga yangi kiritilgan zaifliklarni tezroq tuzatishga yordam beradi.
Cloudflare veb-ilovalarni qanday qilib xavfsiz saqlaydi?
Cloudflare yuqorida sanab o'tilgan ko'plab xavfsizlik xizmatlarini, jumladan DDoS yumshatish, veb-ilovalar xavfsizlik devori, API himoyasi, DNSSEC, boshqariladigan SSL/TLS, botlarni boshqarish, mijoz tomoni xavfsizligi va boshqalarni taklif qiluvchi global 310 shahar tarmog'ini boshqaradi.

Download 0,68 Mb.

1 2 3 4 5 6 7 8

Download 0,68 Mb.