امنیت کامپیوتر قسمت دهم
همچنین سوء استفادههایی از آسیبپذیریهای نرمافزاری وجود دارد که به شخص اجازه میدهد به رایانه مورد نظر دسترسی پیدا کند.
حملات DoS
در یک DoS، مهاجم در واقع به سیستم دسترسی ندارد. در عوض، این شخص به سادگی دسترسی کاربران قانونی را مسدود می کند (CERT، 2003). یکی از راههای رایج برای جلوگیری از سرویسهای قانونی، پر کردن سیستم مورد نظر با درخواستهای اتصال نادرست فراوان است تا سیستم نتواند به درخواستهای قانونی پاسخ دهد. DoS یک حمله بسیار رایج است زیرا بسیار آسان است. در سال های اخیر ابزارهای DoS در اینترنت در دسترس بوده اند. یکی از رایج ترین ابزارها توپ یونی مدار پایین (LOIC) است. از آنجایی که این ابزارها را می توان به صورت رایگان از اینترنت دانلود کرد، هر کسی می تواند حمله DoS را حتی بدون مهارت فنی انجام دهد. ما همچنین تغییراتی داریم، مانند حمله DDoS. DDoS از چندین ماشین برای حمله به هدف استفاده می کند. با توجه به اینکه بسیاری از وبسایتهای مدرن در خوشههای شبکه یا حتی در فضای ابری میزبانی میشوند، برای یک ماشین مهاجم تنها ایجاد ترافیک کافی برای از بین بردن یک وب سرور بسیار دشوار است. اما شبکه ای متشکل از صدها یا حتی هزاران کامپیوتر مطمئناً می تواند این کار را انجام دهد. ما حملات DoS و DDoS را با جزئیات بیشتری در فصل 4، “حملات انکار سرویس” بررسی خواهیم کرد.
حملات وب
بر اساس ماهیت خود، سرورهای وب باید اجازه ارتباطات را بدهند. اغلب اوقات، وب سایت ها به کاربران اجازه می دهند تا با وب سایت تعامل داشته باشند.هر بخشی از یک وب سایت که امکان تعامل با کاربر را فراهم می کند، یک نقطه بالقوه برای تلاش مبتنی بر حمله وب است.
تزریق SQL شامل وارد کردن دستورات SQL (زبان پرس و جوی ساختاریافته) در فرم های ورود به سیستم (فیلدهای متنی نام کاربری و رمز عبور) در تلاش برای فریب سرور برای اجرای آن دستورات است. متداول ترین هدف این است که سرور را مجبور به ورود مهاجم به سیستم کند، حتی اگر مهاجم نام کاربری و رمز عبور قانونی نداشته باشد.در حالی که تزریق SQL تنها یکی از انواع حملات وب است، رایج ترین آنها نیز هست.
تزریق SQL
تزریق SQL هنوز هم بسیار رایج است، اگرچه سالهاست که شناخته شده است. متأسفانه، برخی از توسعهدهندگان وب گامهای مناسب را برای رفع آسیبپذیریهایی که این حمله را ممکن میسازد، انجام نمیدهند. با توجه به شیوع این حمله، توضیح کمی دقیق تر لازم است. یکی از ساده ترین اشکال تزریق SQL را در نظر بگیرید که برای دور زدن صفحه ورود به سیستم استفاده می شود. وب سایت در برخی از زبان های برنامه نویسی وب مانند PHP یا ASP.NET توسعه یافته است. پایگاه داده به احتمال زیاد یک پایگاه داده رابطه ای اولیه مانند Oracle، SQL Server، MySQL یا PostGres است. SQL برای برقراری ارتباط با پایگاه داده استفاده می شود، بنابراین باید دستورات SQL را در صفحه وب که به زبان برنامه نویسی نوشته شده است قرار دهیم. این به ما امکان می دهد تا پایگاه داده را پرس و جو کنیم و ببینیم که آیا نام کاربری و رمز عبور معتبر هستند یا خیر.
قوانین ارسال دیدگاه در سایت