امنیت کامپیوتر قسمت دهم

همچنین سوء استفاده‌هایی از آسیب‌پذیری‌های نرم‌افزاری وجود دارد که به شخص اجازه می‌دهد به رایانه مورد نظر دسترسی پیدا کند.

حملات DoS

در یک DoS، مهاجم در واقع به سیستم دسترسی ندارد. در عوض، این شخص به سادگی دسترسی کاربران قانونی را مسدود می کند (CERT، 2003). یکی از راه‌های رایج برای جلوگیری از سرویس‌های قانونی، پر کردن سیستم مورد نظر با درخواست‌های اتصال نادرست فراوان است تا سیستم نتواند به درخواست‌های قانونی پاسخ دهد. DoS یک حمله بسیار رایج است زیرا بسیار آسان است. در سال های اخیر ابزارهای DoS در اینترنت در دسترس بوده اند. یکی از رایج ترین ابزارها توپ یونی مدار پایین (LOIC) است. از آنجایی که این ابزارها را می توان به صورت رایگان از اینترنت دانلود کرد، هر کسی می تواند حمله DoS را حتی بدون مهارت فنی انجام دهد. ما همچنین تغییراتی داریم، مانند حمله DDoS. DDoS از چندین ماشین برای حمله به هدف استفاده می کند. با توجه به اینکه بسیاری از وب‌سایت‌های مدرن در خوشه‌های شبکه یا حتی در فضای ابری میزبانی می‌شوند، برای یک ماشین مهاجم تنها ایجاد ترافیک کافی برای از بین بردن یک وب سرور بسیار دشوار است. اما شبکه ای متشکل از صدها یا حتی هزاران کامپیوتر مطمئناً می تواند این کار را انجام دهد. ما حملات DoS و DDoS را با جزئیات بیشتری در فصل 4، “حملات انکار سرویس” بررسی خواهیم کرد.

حملات وب

بر اساس ماهیت خود، سرورهای وب باید اجازه ارتباطات را بدهند. اغلب اوقات، وب سایت ها به کاربران اجازه می دهند تا با وب سایت تعامل داشته باشند.هر بخشی از یک وب سایت که امکان تعامل با کاربر را فراهم می کند، یک نقطه بالقوه برای تلاش مبتنی بر حمله وب است.
تزریق SQL شامل وارد کردن دستورات SQL (زبان پرس و جوی ساختاریافته) در فرم های ورود به سیستم (فیلدهای متنی نام کاربری و رمز عبور) در تلاش برای فریب سرور برای اجرای آن دستورات است. متداول ترین هدف این است که سرور را مجبور به ورود مهاجم به سیستم کند، حتی اگر مهاجم نام کاربری و رمز عبور قانونی نداشته باشد.در حالی که تزریق SQL تنها یکی از انواع حملات وب است، رایج ترین آنها نیز هست.

تزریق SQL

تزریق SQL هنوز هم بسیار رایج است، اگرچه سال‌هاست که شناخته شده است. متأسفانه، برخی از توسعه‌دهندگان وب گام‌های مناسب را برای رفع آسیب‌پذیری‌هایی که این حمله را ممکن می‌سازد، انجام نمی‌دهند. با توجه به شیوع این حمله، توضیح کمی دقیق تر لازم است. یکی از ساده ترین اشکال تزریق SQL را در نظر بگیرید که برای دور زدن صفحه ورود به سیستم استفاده می شود. وب سایت در برخی از زبان های برنامه نویسی وب مانند PHP یا ASP.NET توسعه یافته است. پایگاه داده به احتمال زیاد یک پایگاه داده رابطه ای اولیه مانند Oracle، SQL Server، MySQL یا PostGres است. SQL برای برقراری ارتباط با پایگاه داده استفاده می شود، بنابراین باید دستورات SQL را در صفحه وب که به زبان برنامه نویسی نوشته شده است قرار دهیم. این به ما امکان می دهد تا پایگاه داده را پرس و جو کنیم و ببینیم که آیا نام کاربری و رمز عبور معتبر هستند یا خیر.