در بخش های قبلی این مقاله، به بررسی حملات sql injection و xss علیه برنامه های تحت وب پرداختیم. در این بخش، شما را با دو دسته دیگر از حملات علیه برنامه های وب، تحت عنوان «تغییر متغیر» و «سرریزی بافر» آشنا می کنیم. variable manipulation در این تکنیک، مهاجم سعی بر تغییر متغیرهای موجود در برنامه دارد. در نتیجه این تغییرات، منطق برنامه دچار مشکل می شود. مثال کلاسیک این نوع حمله eshoplifting نام دارد که در آن مهاجم با دسترسی به یک یا چند متغیر قیمت در وب سایت فروش آنلاین و تغییر مقدار آنها، منطق برنامه را فریب داده و منجر به محاسبه اشتباه قیمت محصول توسط برنامه می شود. در نتیجه مهاجم می تواند اقدام به خرید یک آیتم گران قیمت با قیمت بسیار پایین کند. در اکثر موارد برنامه قادر به تشخیص تغییر قیمت نیست و روند کار در حالت عادی انجام خواهد شد.برای بررسی وجود چنین رخنه پذیری در وب سایت خود، به صورت زیر عمل کنید:کد html صفحه فروش را وقتی در پروسه پرداخت قرار دارید، باز کنید. اگر در میان کدهای شما متغیری شامل مقدار و یا مبلغ کالای درخواستی وجود دارد، سایت شما مستعد این نوع حملات خواهد بود. راهکار برخورد با این مشکل عبارتست از:– اعتبارسنجی پارامترهای فروش قبل از انجام هر نوع محاسبه قیمت– رمزگذاری پارامترهای فروش. buffer overflow همانطور که می دانید، یک برنامه حجم مشخصی از حافظه را اشغال می کند. درصورتی که اطلاعاتی بیشتر از فضای اختصاص یافته به برنامه (حتی باندازه یک بایت)، وارد حافظه شود، منجر به سرریزی خواهد شد. در زیر به بیان دو نوع رایج سرریز به نام های «سرریزی پشته» و «سرریزی هیپ» می پردازیم: stack overflow پشته، بخشی از حافظه است. رایانه اطلاعاتی را که نمی تواند در رجیسترهای خود ذخیره کند، در پشته ذخیره می کند. در این تکنیک مهاجم با آگاهی از عدم کنترل نوع و سایز مقادیر ورودی یک تابع توسط برنامه، اقدام به ارسال مقادیر بیشتر از فضای حافظه و نهایتا بازنویسی آدرس تابع مخرب خود به جای آدرس بازگشت تابع اصلی می کند (تابع مخرب عبارتست از هر آن چه منجر به خطر پذیری برنامه و سرور می شود، مثلا در محیط لینوکس دستور ساده exec("sh") منجر به باز شدن پنجره دستورات و خطرپذیری بسیار برای سرور می شود)، حال وقتی برنامه قفل می شود، اقدام به بازیابی توسط آدرس بازگشت می کند و چون این آدرس به دستور مخرب مشخص شده از سوی مهاجم تغییر کرده است، منجر به اجرای دستور مخرب خواهد شد. heap overflow وقتی یک برنامه با حجم بزرگی از اطلاعات نیازمند پردازش مواجه می شود، بخشی از حافظه به نام هیپ به منظور مدیریت اطلاعات فوق در نظر گرفته می شود. در زبان های سطح پایینی چون c و c++ برنامه نویس مسوول تعیین میزان حافظه اختصاص یافته است، حال در صورتی که حجم اطلاعات بارشده بیش از مقدار مشخص شده برای هیپ باشد، برنامه قفل خواهد کرد.راهکار برخورد با این مشکل نیز در مرحله نخست، استفاده از زبان های برنامه نویسی چون java ،.net perl ، python و ruby است که اجازه دسترسی مستقیم برنامه نویس به حافظه را نمی دهند و خود کنترل حافظه را برعهده می گیرند.توجه به این نکته لازم است که گاه برنامه نویس اقدام به پیاده سازی برنامه با یکی از زبان های فوق می کند، ولی در بخشی از برنامه خود اقدام به استفاده از برنامه یا ابزارهای غیرایمنی می کند که توسط زبان های برنامه نویسی ناامن نوشته شده اند، که این نیز منجر به افزایش خطرپذیری برنامه خواهد شد.– مقادیر ورودی را قبل از هرگونه پردازش اعتبار سنجی کنید.– در صورت استفاده از توابع سیستمی یا ابزارهای نوشته شده با این زبان ها، از کامپایلر های ایمن در برابر سرریز استفاده کنید– برنامه را به طور مداوم توسط اسکنرهای تشخیص سرریز بررسی کنید. – در صورت استفاده از زبان های ناامن چون c ، c++ ، کوبول و اسمبلی، قبل از کپی اطلاعات در پشته مقصد، از فضای کافی آن مطمئن شوید.منابع: acunetix.com ، owasp.org و |whitehatsec.comمحمد غفاری
لینوکس مناسب برای نت بوک
... کاربردی- همشهری آنلاین:لینوکس گزینه منطقی برای سیستم عامل مورد استفاده در نت بوک ها (netbook) است ... خبرگزاری آلمان از مونیخ گزارش داد، با این وجود به خریداران نت بوک ها توصیه می شود نسخه های قدیمی لینوکس را بر روی دستگاه خود نصب نکنند ... مجله پی سی ولت لینوکس چاپ مونیخ گزارش داد، این بدان معناست که برخی کارکردها همانند wlan ممکن است به سادگی بدون تنظیمات شخصی به کار نیفتند ... نصب درایورها پس از نصب اولیه نیاز به کسب تجربه در محیط لینوکس خواهد داشت ... کارشناسان توصیه می کنند به جای این روند، خریداران به دنبال تولیدات جدید لینوکس به ویژه نسخه های مناسب لپ تاپ های کوچک باشند ... بهترین بسته های لینوکس موثر برای نت بوک ها، ubuntu netbook remix، easy peasy و linpus linux lite هستند ...
گذر به دوران بلوغ
... این بتاها، که به کاربران اجازه می دهد نگاه زودهنگامی به قابلیت های جدید نسخه های اصلی بعدی بیاندازند، نمایانگر بلوغ نرم افزاری سیستم عامل لینوکس اند ... این توزیع ها هر دو کمابیش تقویم هایشان را بر مبنای تاریخ انتشار محیط میزکار gnome تنظیم کرده اند و شامل نسخه 24 ... پالس آودیو تجربه ای جدید از صدا را به محیط لینوکس می آورد، اما مشکلاتی همچون یکپارچه سازی، بازدهی و قابلیت اطمینان لازم دارد که ویژگی های کلیدی این نرم افزار را زیر سایه خود می برند ... نسخه های جدید اوبونتو و فدورا که هر دو توزیع های برجسته ای اند و به نظرم تمام جریان جامعه مرتبط را به جلو می برند، از وب سایت های رسمی این دو لینوکس قابل دریافت هستند:http://www ...
ابزاری برای پاسخگویی به نیازها
... این نسخه امکان برنامه نویسی و کامپایل برنامه های دلفی را در سیستم عامل لینوکس امکان پذیر می سازد ... در حقیقت نسخه تحت لینوکس دلفی، kylix نام دارد که به همراه دلفی 7 عرضه شده است؛ اما متاسفانه kylix در نسخه های بعدی دلفی از جمله دلفی 2009 دیگر عرضه نشد و این زبان را منحصر به سیستم عامل ویندوز کرد ... این مسئله از جمله بزرگترین نقاط ضعف نسخه های جدید دلفی است؛ اما کسانی که با دلفی 7 برنامه می نویسند، می توانند نسخه معادل برنامه خود را در لینوکس نیز داشته باشند ... کتابخانه vcl که مخصوص ویندوز است، امکانات و ابزارهای بیشتری نسبت به clx دارد و برنامه های نوشته شده با آن تنها در محیط ویندوز قابل کامپایل و اجرا هستند؛ اما برنامه هایی که با استفاده از کتابخانه clx طراحی و نوشته می شوند، علاوه بر این که می توانند در محیط ویندوز کامپایل و اجرا شوند، می توانند بدون کوچکترین تغییری در محیط لینوکس با استفاده ازkylix مجددا کامپایل شده و بعد از تولید فایل اجرایی مخصوص لینوکس، در آن محیط اجرا شوند ... البته باید به این نکته توجه داشت که برنامه کامپایل شده در ویندوز قابل اجرا در لینوکس نیست و باید متن اصلی برنامه مجددا در لینوکس کامپایل شود ... محیط کار دلفی برنامه سازان می توانند ide دلفی را با روش های مختلفی متناسب با نیازهای شخصی خود تغییر دهند و ممکن است به هنگام کار با فرم ها، به نوعی آرایش و چیدمان و به هنگام نوشتن اجزای ساخت یا برنامه های سطح پایین، با استفاده از ویراستار، به نوعی کاملا متفاوت نیاز داشته باشید ...
برنامه ای برای کنترل از راه دور
... به عنوان مثال فرض کنید که شما یک رایانه شخصی با سیستم عامل ویندوز در اختیار دارید، ولی دانشگاه شما یک رایانه با سیستم عامل لینوکس دارد ... شما برنامه های خود را در محیط لینوکس نوشته اید و همان جا ذخیره کرده اید ... حال به فرض اگر خواستید در منزل خود، همانند کسی که در مرکز رایانه نشسته است به محیط لینوکس وارد شده و برنامه های خود را ویرایش یا اجرا کنید، نیازمند یک ترمینال سازگار با لینوکس هستید ... telnet برنامه تل نت یک ترمینال مجازی و سازگار با ترمینال های حقیقی از سیستم سرویس دهنده، روی رایانه شما شبیه سازی می کندو اجازه می دهد به سیستم لینوکس وارد شده و با آن محاوره کنید ...
مایکروسافت: از فایر فاکس استفاده کنید!
... خبرگزاری incisive media اعلام کرد یکی از کارمندان آن در حالی که می خواست به منظور آزمایش پلاگین فلش در محیط لینوکس، اقدام به نصب ie 5 ...
لینوکس جای خود را در صنعت باز می کند
... کنفرانس سالانه لینوکس ورلد پذیرای گروه های مختلف کاربر فناوری اطلاعات است که به دنبال دریافت خدمات جدید و یافتن راه های تازه برای فعالیت های خود هستند؛ از کسانی که به دنبال یافتن نحوه هماهنگ کردن لینوکس و نرم افزارهای اوپن سورس با سیستم سرمایه گذاری فناوری اطلاعات خود هستند تا شرکت هایی که درصدد گسترش استفاده خود از پلتفرم های اوپن سورس برآمده اند ... سویج گفت که اولین بار پنج سال پیش به این کنفرانس آمده بود و در آن هنگام واقعا گیج شده بود و حالا باز هم به این کنفرانس آمده تا ببیند که لینوکس در این فاصله تا چه حد رشد کرده است ... وی معتقد است که در حال حاضر با استفاده از لینوکس می توان از پیچیدگی فرآیندهای یادگیری کاست ... سویج معتقد است که هنوز بسیاری از نرم افزارهای مربوط به برنامه های آموزشی فقط با ویندوز کار می کنند که این امر، امکان استفاده مدارس از سیستم عامل لینوکس را تا حدود زیادی کم کرده است ... از همین رو، هزینه کمتر و کارآیی مناسب، ما را به استفاده از لینوکس در مرکز اطلاعات ترغیب کرد ... » اما در محیط کلاس ها، الویت با گزینه ای است که برای دانش آموزان، معلم ها و سایرین بهتر باشد و نه گزینه ای که در صنعت فناوری اطلاعات وسوسه برانگیزتر باشد ... سویج به این نکته اشاره می کند که او و همکارانش ویژگی های جدید نرم افزارهای اوپن سورس را زیر نظر دارند و در صورتی که یکی از ابزارها را با محیط مدرسه سازگار ببینند، برای کاهش هزینه ها از آن استفاده خواهند کرد ...
اجرای نرم افزارهای لینوکس بر روی سرورهای یونیکس شرکتibm
... بار دیگر شرکت بزرگ IBM دری تازه را به روی جهان لینوکس گشود ... به تازگی شرکت armonk که در شهر نیویورک قرار دارد، یک نرم افزار مجازی سازی محیط لینوکس را طراحی کرده است که به وسیله آن و بدون کوچک ترین دگرگونی در پیکربندی سرورهای سری power، می توان هزاران نرم افزار کاربردی لینوکس را بر روی این سرورها اجرا کرد ... این محیط مجازی system p application virtual environment (system p ave) نامیده می شود ... ibm در اطلاعیه خود گفته است: « با نصب system p avp، همه نرم افزار کاربردی سیستم عامل لینوکس بدون هیچ گونه دگرگونی در سخت افزار و نرم افزار سرورهای power قادر به اجرا شدن هستند ...
رقابت ناول و ردهت بر سر کامپیوترهای دسکتاپ
... در حالی که سرویس پک ها بیشتر شامل رفع باگ های موجود در یک نرم افزار می شوند، ناول در این سرویس پک قابلیت مجازی سازی دسکتاپ و اجرای ویندوز بر روی محیط لینوکس را نیز فراهم آورده است ... پیش بینی می شود این محصول سازگاری لینوکس ناول را که بیشتر در سرورها به کار می رود، برای بهره گیری بر روی کامپیوترهای دسکتاپ افزایش دهد ...
رقابت بزرگ
... در حالی که سرویس پک ها بیشتر شامل رفع باگ های موجود در یک نرم افزار می شوند، ناول در این سرویس پک قابلیت مجازی سازی دسکتاپ و اجرای ویندوز بر روی محیط لینوکس را نیز فراهم آورده است ... پیش بینی می شود این محصول سازگاری لینوکس ناول را که بیشتر در سرورها به کار می رود، برای بهره گیری بر روی کامپیوترهای دسکتاپ افزایش دهد ...
|
صفحه 1
|
2 | 3 |
|
