سؤال ها :
1- تفاوت عمده ی XSS و CSRF را توضیح دهید؟
2- SQL injection را به اختصار توضیح دهید؟
3- Session fixtion را توضیح دهید؟
4- يك راه براي جلوگيري از حملات sql injection معرفي كنيد؟
5- تفاوت session fixtion و session hijacking را در زمان حمله بگوييد؟
جواب ها :
1- در XSS نفوذگر از اعتماد کاربر به یک سایت سوءاستفاده می کند. به این ترتیب که با استفاده از یک سایت آسیب پذیر دستورات خود را بر روی سیستم قربانی اجرا می کند. اما در CSRF از اعتماد سایت به کاربر سوءاستفاده می شود. به این ترتیب که نفوذگر از اختیارات یک کاربر عضو سایت سوءاستفاده کرده و اقدامات مورد نظر خود را انجام میدهد.
2- اساس کار در این حملات استفاده از فرم ها و فرستادن کدهایی به پایگاه داده و نفوذ به آن می باشد. در این روش نفوذگر از عدم فيلتر ورودي فرم ها سوءاستفاده كرده و كدهاي دلخواه را در فرم وارد مي كند و تغييرات مورد نظر را در پايگاه داده انجام ميدهد.
3- در يك حمله ي session fixtaion نفوذگر قبل از اينكه قرباني وارد سرور مقصد شود session id او را ثبت مي كند. به اين ترتيب كه خود به عنوان يك كاربر مجاز وارد سيستم مي شود و بعد از ثبت شدن session id براي خودش، آنرا به قرباني ميفرستد و با فريب دادن وي، او را وادار به كليك بر روي آن و ورود به سايت مي كند. به اين ترتيب نفوذگر به طور كامل به اطلاعات قرباني در آن سايت دسترسي دارد.
4- استفاده از توابعي مانند match يا htmlentities كه باعث مي شود كاربر نتواند هر مقداري را در فرم ها وارد كند و مثلا كاراكترهايي مانند ">" و "." فيلتر شوند.
5- در session fixtion نفوذگر قبل از اينكه كاربر وارد سرور مقصد شود به مرورگر او حمله مي كند اما در session hijacking اين حمله بعد از ورود كاربر به سرور مقصد انجام مي شود.
هیچ نظری موجود نیست:
ارسال یک نظر